Departamento de Estadística
PROYECTO FIN DE CARRERA
Gestión del Riesgo Operacional
Autor: Eliana Soledad Peralta
Tutor: José Ruiz-Canela López
Leganés, Noviembre de 2011
ii
iii
Título: GESTIÓN DEL RIESGO OPERACIONAL
Autor: Eliana Soledad Peralta
Director: José Ruiz-Canela López
EL TRIBUNAL
Presidente:
Vocal:
Secretario:
Realizado el acto de defensa y lectura del Proyecto Fin de Carrera el día __ de _______ de 20__ en Leganés, en la Escuela Politécnica Superior de la Universidad Carlos III de Madrid, acuerda otorgarle la CALIFICACIÓN de
VOCAL
SECRETARIO PRESIDENTE
iv
v
Agradecimientos
En estas líneas quiero dar mi sincero agradecimiento:
A mis padres, mamá, papá, gracias por el apoyo y la confianza incondicional, por ustedes
soy lo que soy.
A mi hermano, por su franqueza y sinceridad.
A Ángel, por ser mi soporte en los momentos más difíciles.
A toda mi familia, especialmente a mi abuela Delia, Nora, Raquel, Estela, gracias por el
afecto y cariño todos estos años.
A mis amigos, a los de este lado del charco y a los del otro también.
A mis compañeros de la universidad, especialmente a Bego y a Marta.
Y finalmente a la universidad, a todos los profesores que a lo largo de la carrera han
impartido con gran esfuerzo cada asignatura y especialmente a mi tutor José Ruiz-Canela
López, por darme la oportunidad de desarrollar este proyecto y brindarme su apoyo y tiempo.
vi
Resumen
La gestión del riesgo operacional es una disciplina que se encuentra en auge dentro de
múltiples sectores de la industria, y que tiene como objetivo principal conseguir una excelencia
operativa creando a su vez un valor añadido. Es una práctica que garantiza analizar y minimizar
el impacto de las amenazas que rodean a una organización como así también detectar las
oportunidades que se presentan, obteniendo una ventaja competitiva de ello. Permite a las
empresas tomar decisiones sustentadas en un análisis profundo mejorando así el desempeño
organizacional.
Este proyecto está estructurado en diversos capítulos en los cuales, primero se definen
las bases para entender la gestión del riesgo operacional como así también la gestión del
riesgo empresarial, seguido por el análisis del marco de trabajo de gestión de riesgo
incluyendo aspectos como las bases para implantar un modelo de gestión de riesgos de forma
eficiente a partir de la definición de políticas y normas necesarias, proporcionales al nivel de
riesgo que se quiere asumir en la organización. Otro punto importante es la definición de los
roles y responsabilidades de cada uno de los integrantes de la organización en relación a la
gestión de riesgos. Además se establecen los pasos a seguir para poder realizar un análisis
integral de los riesgos operacionales, a través de la identificación, descripción, análisis,
evaluación y tratamiento de cada riesgo. Por último se definen, a partir de casos reales, los
riesgos más importantes del sector de las telecomunicaciones aplicando de esta forma lo
estudiado en los capítulos anteriores.
Palabras claves: gestión del riesgo operacional, gestión del riesgo empresarial, riesgos en
las telecomunicaciones.
vii
Abstract
The operational risk management is booming in many sectors of industry and its main
objective is to achieve operative excellence, creating at the same time, an added value. It is a
practice that ensures the analysis and the decrease of the impact of the threats to which an
organization is exposed, as well as identifies opportunities, giving it a competitive advantage. It
makes companies to reach decisions based on a deep analysis, thereby improving
organizational performance.
This project is structured in several chapters. The first one defines the basis for
understanding operational risk management as well as enterprise risk management, followed
by the analysis of the framework of risk management, including aspects such as the
fundamentals for implementing a risk management model efficiently from the definition of
necessary policies and standards, directly related to the future risks that the organization will
assume. Another important point is the definition of the roles and responsibilities of each of
the members of the organization in relation to risk management. The necessary steps to
perform a comprehensive analysis of operational risks through the identification, description,
analysis, evaluation and treatment of each risk, are also established. Finally, the most
significant risks in telecommunications sector are defined, by considering real situations and
the implementation of the contents studied in the previous chapters.
Keywords: operational risk management, enterprise risk management, risk in
telecommunications.
Índice
viii
Índice
1. Introducción ............................................................................................................................ 1
1.1 Introducción .......................................................................................................................2
1.2 Objetivos del proyecto .......................................................................................................2
1.3 Fases del desarrollo ............................................................................................................3
1.4 Medios empleados .............................................................................................................4
1.5 Estructura del proyecto ......................................................................................................4
2. Entendiendo la Gestión del Riesgo Operacional ..................................................................... 6
2.1 Introducción .......................................................................................................................7
2.2 Definición de Gestión del Riesgo Empresarial ....................................................................7
2.2.1 Definición de riesgo .....................................................................................................7
2.2.2 Definición de riesgo empresarial .................................................................................8
2.3 Definición de Gestión del Riesgo Operacional ....................................................................9
2.3.1 Definición de Proceso ..................................................................................................9
2.3.2 Definición de Riesgo Operacional ..............................................................................11
2.4 Objetivos de la Gestión de Riesgos ...................................................................................16
2.4.1 Objetivos de la Gestión del Riesgo Empresarial .........................................................16
2.4.2 Objetivos de la Gestión del Riesgo Operacional ........................................................17
2.5 Repercusión de la Gestión de Riesgos ..............................................................................18
2.6 Infraestructura básica de la Gestión del Riesgo Empresarial ............................................19
3. Marco de Trabajo de la Gestión del Riesgo ........................................................................... 21
3.1 Introducción .....................................................................................................................22
3.2 Creación del marco de trabajo .........................................................................................22
3.3 Política de Gestión del Riesgo ..........................................................................................25
3.4 Apetito y tolerancia al riesgo ............................................................................................27
3.5 Normas y marcos de trabajo para el desarrollo de ERM ..................................................31
4. Roles y responsabilidades dentro de ERM ............................................................................ 33
Índice
ix
4.1 Introducción .....................................................................................................................34
4.2 Modelo funcional de la gestión de riesgos .......................................................................34
4.2.1 Junta directiva ...........................................................................................................37
4.2.2 Comité de Riesgo .......................................................................................................38
4.2.3 Unidad de Gestión de Riesgo Empresarial .................................................................39
4.2.4 Oficiales de Riesgos ...................................................................................................40
4.2.5 Unidades de Negocio y Apoyo ...................................................................................41
4.2.6 Auditor interno ..........................................................................................................42
5. Modelo ERM para generar valor en la empresa .................................................................... 45
5.1 Introducción .....................................................................................................................46
5.2 Identificar los riesgos empresariales ................................................................................46
5.2.1 Identificar los Riesgos Operacionales ........................................................................48
5.3 Descripción de los riesgos ................................................................................................54
5.4 Análisis de los riesgos .......................................................................................................57
5.5 Evaluación de los riesgos. .................................................................................................63
5.6 Tratamiento del riesgo .....................................................................................................64
5.7 Seguimiento y revisión .....................................................................................................68
5.8 Sistema de información y comunicación ..........................................................................71
6. Herramientas de soporte ERM .............................................................................................. 74
6.1 Introducción .....................................................................................................................75
6.2 Herramientas de Gestión de Riesgos ................................................................................75
6.2.1 SAP BusinessObjects Governance, Risk and Compliance ..........................................75
6.2.2 Active Risk Manager ..................................................................................................79
6.2.3. SoftExpert ERM Suite................................................................................................80
7. Benchmarking de ERM .......................................................................................................... 84
7.1 Introducción .....................................................................................................................85
7.2 Benchmarking de ERM realizado por el Instituto de Auditores Internos ..........................85
Índice
x
7.3 Benchmarking de ERM realizado por la Federación Europea de Asociaciones de Gestión
de Riesgos ..............................................................................................................................93
8. Los riesgos en la industria de las Telecomunicaciones .......................................................... 99
8.1 Introducción ...................................................................................................................100
8.2 La industria de las Telecomunicaciones..........................................................................100
8.3 Análisis de los riesgos más importantes .........................................................................104
8.3.1 Perder la propiedad del cliente ...............................................................................105
8.3.2 No maximizar el valor del cliente ............................................................................108
8.3.3. Aumento de las presiones regulatorias ..................................................................110
8.3.4 Inversión ineficaz en infraestructura .......................................................................110
8.3.5 Incapacidad para dominar y reducir los costes ........................................................111
8.3.6 Falta de talento e innovación ..................................................................................112
8.3.7 Incapacidad para manejar las expectativas de los inversores .................................112
8.3.8 Procesos y sistemas inapropiados ...........................................................................113
8.3.9 Gestión ineficaz de las fusiones, adquisiciones y alianzas. ......................................114
8.3.10 Privacidad, seguridad y piratería ...........................................................................115
8.4 Respuestas de la industria de las telecomunicaciones ...................................................116
8.5 Aplicación del modelo de ERM a los riesgos más importantes del sector de las
telecomunicaciones .............................................................................................................118
8.5.1 Premisas y puntos a destacar ..................................................................................118
8.5.2 Aplicación del modelo .............................................................................................120
9. Conclusiones y futuros desarrollos ..................................................................................... 130
9.1 Conclusiones ..................................................................................................................131
9.2 Futuros desarrollos .........................................................................................................132
10. Presupuesto ........................................................................................................................ 133
10.1 Desarrollo del proyecto ................................................................................................134
10.2 Costes del proyecto ......................................................................................................134
10.2.1 Coste de personal ..................................................................................................134
Índice
xi
10.2.2 Coste de equipos ...................................................................................................135
11. Glosario ............................................................................................................................... 138
12. Bibliografía .......................................................................................................................... 141
Índice de figuras
xii
Índice de Figuras
Figura 2.1 Elementos del proceso de creación de valor de una empresa. [4][5] ........................11
Figura 2.2 Análisis de regresión sobre el número de artículos en periódicos sobre riesgo /
riesgo operacional. [6]................................................................................................................14
Figura 3.1 Marco de trabajo. [1][11] ..........................................................................................24
Figura 3.2 Elementos claves para determinar el apetito por el riesgo. [10] ...............................31
Figura 4.1 Unidad de ERM centralizada. [16] .............................................................................36
Figura 4.2 Unidad de ERM descentralizada. [16] ........................................................................37
Figura 4.3 Rol de Auditoría interna en ERM. [19] .......................................................................43
Figura 5.1 Modelo de ERM. [11] .................................................................................................46
Figura 5.2 Mapa de procesos de una organización. [5] ..............................................................48
Figura 5.3 Mapa de riesgos en los procesos de la organización. ................................................53
Figura 5.4 Matriz de Probabilidad e Impacto. [22] .....................................................................60
Figura 5.5 Matriz de Probabilidad e Impacto: Evaluación. .........................................................63
Figura 5.6 Respuestas a riesgos negativos en función de su probabilidad e impacto. [25] .......65
Figura 5.7 Diagrama de flujo - Respuestas a los riesgos negativos. [25].....................................65
Figura 5.8 Respuestas a riesgos positivos en función de su probabilidad e impacto. [25] .........66
Figura 5.9 Diagrama de flujo - Respuesta a los riesgos positivos. [25] .......................................67
Figura 6.1 Soluciones SAP BusinessObjects Governance, Risk and Compliance. Esquema general.
[27] .............................................................................................................................................76
Figura 6.2 Pantalla principal de SAP BusinessObjects. [27] ........................................................78
Figura 6.3 Pantalla principal de SAP BusinessObjects Risk Management. Matriz de riesgos. [27]
...................................................................................................................................................78
Figura 6.4 Active Risk Manager aporta un valor añadido en todas las áreas de negocio. [28] ...80
Figura 6.5 SoftExpert ERM Suite - Establecer el contenido y definir responsabilidades. [30] ....82
Figura 6.6 SoftExpert ERM Suite - Selección de las variables de los riesgos. [30] .......................82
Figura 6.7 SoftExpert ERM Suite - Identificar las opciones de tratamiento. [30] .......................83
Figura 6.8 SoftExpert ERM Suite - Revisiones periódicas. [30] ...................................................83
Índice de figuras
xiii
Figura 7.1 Benchmarking IIA - Aplicación de la Gestión de Riesgos en las organizaciones [31] ..85
Figura 7.2 Benchmarking IIA - Tiempo de implantación del Programa de Gestión de Riesgos.
[31] .............................................................................................................................................86
Figura 7.3 Benchmarking IIA - Nivel de satisfacción con la efectividad del programa de gestión
de riesgos. [31] ...........................................................................................................................87
Figura 7.4 Benchmarking IIA - Nivel de satisfacción con los esfuerzos generales de la gestión de
riesgos. [31] ................................................................................................................................88
Figura 7.5 Benchmarking IIA - Efectividad, eficiencia y satisfacción con las herramientas de
Gestión de Riesgos. [31] .............................................................................................................88
Figura 7.6 Benchmarking FERMA – Normas y estándares de referencia para las organizaciones.
[35] .............................................................................................................................................94
Figura 7.7 Benchmarking FERMA - Objetivos de la Gestión de riesgos. [35] ..............................94
Figura 7.8 Benchmarking FERMA – Tendencia, en función del país, a alinear apetito por el
riesgo y estrategia. [35] ..............................................................................................................95
Figura 7.9 Benchmarking FERMA - Impulsores de la Gestión del Riesgo. [34][35] .....................95
Figura 7.10 Benchmarking FERMA - Prácticas de la Gestión de Riesgos. Nivel de desarrollo. [35]
...................................................................................................................................................96
Figura 7.11 Benchmarking FERMA - Niveles de interacción entre la gestión de riesgos y la junta
directiva. [35] .............................................................................................................................96
Figura 7.12 Benchmarking FERMA - Nivel de relación entre la Auditoría Interna y la Gestión de
Riesgos. [35] ...............................................................................................................................97
Figura 7.13 Benchmarking FERMA - Importancia y apetito de distintos riesgos. [34][35] ..........98
Figura 8.1 Evolución de la industria de las telecomunicaciones y de la industria global. Periodo
2007-2010 [37][39] ..................................................................................................................101
Figura 8.2 Evolución de la industria de las telecomunicaciones y de la industria global. Periodo
2008-2009 [37][39] ..................................................................................................................102
Figura 8.3 Comparación de declaraciones del sector de las telecomunicaciones sobre el
impacto de la crisis económica respecto con las declaraciones del resto de sectores. [37].....103
Figura 8.4 Los 10 riesgos más importantes en el sector de las telecomunicaciones en 2010. [36]
.................................................................................................................................................105
Figura 8.5 Opinión de los clientes a la hora de elegir su proveedor de servicios de
telecomunicaciones. [36] .........................................................................................................105
Figura 8.6 Saldo neto de portabilidad por operador en España. [40] .......................................106
Índice de figuras
xiv
Figura 8.7 Índice de rotación de clientes (churn) en España. [40] ............................................107
Figura 8.8 Evolución de los ingresos por servicios finales en telefonía móvil en España. [40] .109
Figura 8.9 Diversas respuestas de supervivencia del sector de las telecomunicaciones ante la
crisis económica en comparación con el resto de sectores. [38] .............................................116
Figura 8.10 Estrategias futuras de competición del sector de las telecomunicaciones
comparándolas con las estrategias de todas las industrias. [38] ..............................................117
Figura 8.11 Diagrama de flujo numerado - Respuestas a los riesgos negativos .......................120
Figura 10.1 Programa del desarrollo del proyecto utilizando el diagrama de Gantt ................134
Índice de tablas
xv
Índice de tablas
Tabla 2.1 Número de artículos focalizados en riesgos de distintos periódicos y revistas de
Gestión Operacional. [6] ............................................................................................................13
Tabla 2.2 Número de artículos focalizados en riesgos operacionales de distintos periódicos y
revistas financieras, económicas y de seguros. [6] .....................................................................14
Tabla 3.1 Evolución de la Administración del Riesgo. [1] ...........................................................22
Tabla 5.1 Gestión del riesgo: Descripción del Riesgo. ................................................................56
Tabla 5.2 Estructura de desglose de Riesgos – Ejemplo. [21] .....................................................57
Tabla 5.3 Probabilidad de ocurrencia – Amenazas. [15] ............................................................59
Tabla 5.4 Probabilidad de ocurrencia – Oportunidades. [15] .....................................................59
Tabla 5.5 Impacto - Amenazas y oportunidades. [15] ................................................................59
Tabla 5.6 Aspectos positivos y negativos de los análisis cuantitativos y cualitativos. ................62
Tabla 5.7 Gestión del riesgo: Análisis del Riesgo. .......................................................................63
Tabla 5.8 Gestión de riesgos: Evaluación del riesgo. ..................................................................64
Tabla 5.9 Gestión del riesgo: Tratamiento del Riesgo. ...............................................................68
Tabla 5.10 Gestión del riesgo: Seguimiento y revisión. ..............................................................71
Tabla 7.1 Benchmarking IIA – Principales barreras para la aplicación de ERM. [31] ..................87
Tabla 8.1 Gestión del Riesgo: Identificación de los riesgos más importantes en las
telecomunicaciones. ................................................................................................................120
Tabla 8.2 Gestión del Riesgo: Descripción ‘Perder la propiedad del cliente’. ...........................121
Tabla 8.3 Gestión del Riesgo: Descripción ‘No maximizar el valor del cliente’. ........................121
Tabla 8.4 Gestión del Riesgo – Descripción: Aumento de presiones regulatorias ....................122
Tabla 8.5 Gestión del Riesgo: Descripción ‘Inversión ineficaz en infraestructura’. ..................122
Tabla 8.6 Gestión del Riesgo: Descripción ‘Incapacidad para dominar y reducir los costes’. ...123
Tabla 8.7 Gestión del Riesgo: Descripción ‘Falta de talento e innovación’. ..............................123
Tabla 8.8 Gestión del Riesgo - Descripción: ‘Incapacidad para manejar las expectativas de los
inversores’. ...............................................................................................................................124
Tabla 8.9 Gestión del Riesgo - Descripción: ‘Procesos y sistemas inapropiados’ .....................124
Índice de tablas
xvi
Tabla 8.10 Gestión del Riesgo – Descripción: ‘Gestión ineficaz de fusiones, adquisiciones y
alianzas’. ...................................................................................................................................125
Tabla 8.11 Gestión del Riesgo - Descripción: ‘Privacidad, seguridad y piratería’......................125
Tabla 8.12 Gestión del Riesgo: Análisis global de los riesgos en las telecomunicaciones. ........129
Tabla 10.1 Estimación del tiempo de dedicación real para la realización del proyecto. ..........135
1. Introducción
1
Capítulo:
1. Introducción
1. Introducción
2
1.1 Introducción
El entorno que rodea a la organización está cambiando rápidamente expandiendo los
riesgos a los que ésta se enfrenta, por lo que la Gestión del Riesgo Operacional, como parte de
la Gestión del Riesgo Empresarial, genera un enfoque verdaderamente integral y orientado al
proceso, ayudando a la organización a administrar todos los riesgos y oportunidades con el fin
de maximizar el valor de la empresa.
Actualmente, la administración del riesgo se está extendiendo más allá de los peligros
tradicionales financieros y asegurables, para abarcar una amplia variedad de riesgos,
aumentando así la diversidad y la complejidad de los mismos, entre ellos podemos encontrar
los riesgos económicos, estratégicos, de mercado, de reputación, legales, de información,
operacionales, etc. Sin embargo, la mayoría de las organizaciones no tienen la seguridad
necesaria para traducir exactamente el concepto de administración de riesgos en acciones
concretas que ayuden a realzar el valor del accionista. Por lo que una ayuda clave es el modelo
de Gestión del Riesgo Empresarial, aplicado en particular a los riesgos operacionales, que
establece cómo los líderes deberían buscar, analizar sus riesgos críticos y luego utilizar esa
información para crear valor en el negocio, desarrollando así una conciencia y cultura de riesgo
dentro de la organización.
Por lo tanto, asumiendo que el riesgo cero no existe y que es inherente a la propia
actividad organizacional, conocer el mapa de riesgos de la organización y gestionarlo de
manera adecuada, no sólo es un factor de ventaja competitiva, sino que es la manera de
asegurar la estabilidad, competitividad y el progreso de la organización. [1][2]
1.2 Objetivos del proyecto
El objetivo principal de este proyecto es ampliar y profundizar los conocimientos
relativos a la gestión de riesgos operacionales de una empresa; para que le permita al
empresario poder fácilmente detectarlos, analizarlos y gestionarlos de manera que pueda
convertir ese esfuerzo y dedicación en términos de crecimiento y desarrollo.
Específicamente se puede decir que las metas a perseguir para conseguir y apoyar dicho
objetivo principal son:
Definir el concepto de riesgo operacional. Este término ha nacido y ha sido
ampliamente desarrollado en el sector de las finanzas, donde una definición
orientada a este sector y aceptada por muchas organizaciones es la determinada
por el comité de Basilea, pero su extrapolación al resto de industrias puede
resultar errónea, por lo que el objetivo será intentar redefinir lo que se entiende
por riesgo operacional para que sea aplicable a cualquier tipo de empresa
independientemente del sector al que pertenezca.
Determinar cuáles son los objetivos de la gestión de riesgos operacionales y los
beneficios que conlleva aplicar un sistema integral de gestión de riesgos en las
empresas.
1. Introducción
3
Definir una estructura y marco de trabajo donde se establezcan los principios,
las políticas, las normas y la forma de trabajo de una empresa en relación a la
gestión de riesgos y su alineamiento con la estrategia global de la misma.
Establecer una estructura organizativa, definiendo los roles y responsabilidades
de cada integrante de este modelo, ya que disponer de una unidad rectora es
uno de los factores claves de éxito de la gestión de riesgos.
Definir el modelo de gestión de riesgos identificando los pasos más importantes
para poder detectar y tratar los riesgos que rodean una organización y obtener
así una ventaja competitiva de ello.
Estudiar las posibles herramientas informáticas que se encuentran en el
mercado actualmente, con el objetivo de mostrar ejemplos de aplicación de este
modelo de gestión de riesgos.
Analizar, a partir de distintas encuestas evaluativas, cómo las empresas hoy en
día manejan y aplican su gestión de riesgos, para obtener así las mejores
prácticas y recomendaciones a la hora de aplicar un programa de gestión de
riesgos efectivo.
Analizar el entorno de la industria de las telecomunicaciones, para que a partir
de casos reales se puedan determinar cuáles son los riesgos más importantes,
cómo se gestionan y cuáles son las respuestas más efectivas para su detección y
reducción, aplicando de esta forma lo estudiado en las secciones anteriores.
1.3 Fases del desarrollo
La realización de este proyecto se ha realizado en tres fases, las cuales se pueden
resumir en investigación y búsqueda de información, análisis de la misma y redacción.
La primera fase ha consistido en buscar información sobre tres temas importantes: la
Gestión del Riesgo Empresarial, la Gestión del Riesgo Operacional y los riesgos en el sector de
las telecomunicaciones. La investigación se ha basado principalmente en buscar información
electrónica, mediante buscadores de internet, recursos electrónicos de la biblioteca de la
Universidad Carlos III, y a partir del registro y búsqueda en páginas especializadas. Esta fase se
ha realizado en dos sub-fases, donde la terminación de cada una de ellas ha estado marcada
por la presentación de resúmenes de la información encontrada al tutor del proyecto.
La segunda fase ha consistido en analizar la información obtenida en la fase anterior y
estructurarla y organizarla para determinar el lineamiento general del proyecto. Además, en
esta fase también se ha seguido buscando información en la medida que se iban detectando
puntos importantes de los cuales no se disponía de información o estaban escasamente
desarrollados en la documentación obtenida inicialmente.
La tercera fase ha consistido en la redacción del proyecto. En esta fase se pueden
identificar cuatro sub-fases. La primera de ellas ha estado focalizada en el entendimiento y
redacción de los temas que conciernen a la gestión de riesgos empresariales, la segunda en la
redacción de los temas de la gestión de riesgos operacionales, la tercera en la redacción del
análisis de los riesgos más importantes del sector de las telecomunicaciones y finalmente, la
1. Introducción
4
última sub-fase ha estado marcada por la revisión global y unificación de las tres sub-fases
anteriores. Esta fase y la elaboración del proyecto en general, se ha visto concluida con la
revisión final por parte del tutor del proyecto.
1.4 Medios empleados
Los medios utilizados para realizar este proyecto han sido:
Ordenador portátil Dell Inspiron 1564
Impresora Epson Stylus SX 125
MS Windows 7
MS Office 2010
Antivirus McAfee Total Protection
1.5 Estructura del proyecto
El proyecto se encuentra estructurado en varios capítulos, el primero de ellos introduce
el tema seleccionado para el proyecto, determina cuáles son los objetivos de dicha elección y
resume las fases y medios empleados para su desarrollo.
El segundo capítulo se denomina “Entendiendo la Gestión del Riesgo Operacional”, en el
cual se desarrollarán los conceptos teóricos relacionados con la gestión de riesgos, como por
ejemplo las definiciones de riesgo empresarial y riesgo operacional, además de identificar
cuáles son sus objetivos y la repercusión de dicha gestión en las empresas.
El tercer capítulo realiza un análisis sobre el marco de trabajo de la gestión de riesgos,
determinando cómo es su infraestructura, cuáles son las políticas y normas de trabajo, como
también la estrategia de definición del apetito y tolerancia al riesgo de una organización.
El cuarto capítulo hace referencia a los roles y responsabilidades de las personas o
entidades claves involucradas en la gestión del riesgo.
El quinto capítulo desarrolla el proceso de gestión de riesgos, determinando un modelo
sistemático para identificarlos, analizarlos, evaluarlos y tratarlos de forma activa y eficiente.
El sexto capítulo es un complemento del anterior ya que se definen algunas
herramientas y software que se ofrecen actualmente en el mercado, y que tienen como fin
realizar una gestión integral de los riesgos.
En el séptimo capítulo se exponen estudios y encuestas evaluativas, con el fin de
establecer cuál es la situación actual de las empresas en materia de gestión de riesgos.
En el octavo capítulo se analizan los riesgos más importantes que rodean a las empresas
de telecomunicaciones, para obtener de esta forma un análisis real de los riesgos y conocer las
medidas de acción que las empresas están aplicando para mitigarlos.
En el noveno capítulo se desarrollan las conclusiones del proyecto.
En el décimo se establece el presupuesto de realización de este proyecto.
En el undécimo se encuentra el glosario.
1. Introducción
5
En el duodécimo se encuentra la bibliografía y referencias.
2. Entendiendo la Gestión del Riesgo Operacional
Capítulo:
2. Entendiendo la Gestión del
Riesgo Operacional
2. Entendiendo la Gestión del Riesgo Operacional
2.1 Introducción
El primer paso para entender la Gestión del Riesgo Operacional es partir de cuatro
puntos claves que facilitaran una mejor comprensión del modelo, estos puntos son, su
definición, sus objetivos, la repercusión en las empresas y la infraestructura básica de dicho
modelo, este último punto se desarrollara más en profundidad en capítulos siguientes.
2.2 Definición de Gestión del Riesgo Empresarial
La primera definición que se plantea es la definición de Gestión de Riesgo Empresarial ya
que este modelo es la espina dorsal de la Gestión del Riesgo Operacional. Se puede decir,
como adelanto, que dentro del riesgo empresarial se encuentra el riesgo operacional, por lo
que la gestión de uno va a estar estrechamente relacionada con la gestión del otro.
La gestión del riesgo empresarial, también definida con las siglas ERM por su nombre en
inglés “Enterprise Risk Management”, es una propuesta disciplinada y estructurada que alinea
la estrategia, los procesos, las personas, la tecnología y el conocimiento, con el propósito de
evaluar y administrar las incertidumbres que la empresa se enfrenta. Es un proceso que
cambia la forma en que una organización percibe y maneja los riesgos ya que proporciona una
seguridad razonable sobre la consecución de los objetivos. [1]
En el mundo moderno la gestión del riesgo se ha configurado como una nueva ciencia
social que utiliza métodos científicos para asumir riesgos con conocimiento, disminuyendo las
posibilidades de fracaso al tomar decisiones sustentadas en datos. ERM es una práctica que
garantiza conocer las oportunidades para beneficio de la organización y las amenazas que
pueden poner en peligro la gobernanza y la no consecución de sus objetivos. La gestión del
riesgo permite tomar decisiones basadas en hechos para mejorar consistentemente el
desempeño organizacional y crear valor en la empresa. [2]
El riesgo crea oportunidad, la oportunidad crea valor y, por último, el valor crea riqueza.
Cómo administrar de la mejor forma los riesgos empresariales para obtener ese valor es el
punto clave. [1]
Para poder continuar con el análisis es necesario definir lo que se entiende por riesgo y
más específicamente lo que se entiende por riesgo empresarial.
2.2.1 Definición de riesgo
En muchos de los idiomas modernos la palabra que significa riesgo proveniente del latín
“risicare”, la española “riesgo”, la francesa “risque”, la italiana “rischio”, la inglesa “risk”, la
alemana “risiko”. En la antigüedad llamaban risicare a la capacidad de navegar alrededor de un
arrecife o roca. La vida del hombre está llena de este tipo de navegación porque se desarrolla
en un espacio globalizado en cual se producen, a la vez, más bienestar y más peligros, más
información y más incertidumbres, más opciones y más inseguridad. En el pasado los
principales peligros y riesgos se asociaban con la naturaleza, con las catástrofes naturales,
ahora primordialmente se imputan a acciones y decisiones humanas, no sólo o no tanto por
las imprudencias sino en la mayoría de los casos por la incapacidad del ser humano de prever
los efectos lejanos de su protagonismo tecnológico y social. Los riesgos ecológicos, nucleares,
genéticos, financieros, etc. son peligros y riesgos en primer lugar de la civilización, además
muchos de ellos son difíciles de percibir antes de producirse su daño. Tales son unas de las
2. Entendiendo la Gestión del Riesgo Operacional
8
razones de que en los últimas décadas el riesgo pasa a ser una categoría clave en la condición
humana y en las ciencias sociales de nuestro tiempo.
Por supuesto, la preocupación por el crecimiento exponencial de los riesgos en la
sociedad moderna tiene sus proyecciones en el ámbito económico. La volatilidad
macroeconómica y financiera, el incremento de la competencia, la sobre-regulación, la
fluctuación de las monedas nacionales, las crisis energéticas y geopolítica mundial, la amenaza
terrorista así como tantos otros peligros e incertidumbres producen en el mundo empresarial y
financiero una creciente percepción de los riesgos a los que se enfrentan. [3]
2.2.2 Definición de riesgo empresarial
El riesgo empresarial tiene su fundamento en el carácter probabilístico de la actividad
empresarial, así como en la relativa incertidumbre situacional en que se desarrolla la misma.
Por lo que la actividad empresarial es acompañada necesariamente de una dosis de
incertidumbre que define la necesidad de elegir entre diferentes alternativas y de tomar
decisiones.
Todas las actividades empresariales conllevan un riesgo, por lo que para poder
administrarlos es necesario clasificarlos. Pero conseguir esa clasificación no es tarea fácil, por
lo que a continuación se expondrán distintas orientaciones, todas igual de válidas.
Una de las clasificaciones gira en torno al efecto bipolar del riesgo. Estos fenómenos se
dividen en dos grupos, en riesgos puros y riesgos especulativos. Los primeros son los riesgos
que realizándose provocan pérdidas y los segundos son riesgos cuyo efecto podría ser tanto la
pérdida como la ganancia. Cuando leemos que el “buen” empresario “evita las situaciones en
la que el riesgo es muy pequeño, porque no entrañan ningún reto y no prometen gran cosa”,
debería entenderse que se trata de riesgos especulativos, porque se presupone que los riesgos
puros se deberían evitar siempre o por lo menos de hacer esfuerzos para reducir su efecto que
no puede ser otro que negativo.
Otro tipo de clasificación suele centrar su atención en la relación “objetivo – subjetivo”
de los factores que producen los riesgos. Este enfoque destaca los riesgos inherentes y los
riesgos incorporados. Los primeros son los directamente relacionados con la propia actividad
de la empresa. Y los segundos, son el producto de la irresponsabilidad del personal. Por lo que,
si los riesgos inherentes son fenómenos producidos por factores objetivos que vienen de la
misma naturaleza que la actividad empresarial, los riesgos incorporados son de segundo nivel,
ya que ellos aparecen como resultado de errores o fallas humanas. Esta distinción lleva consigo
una diferencia clave en los enfoques de enfrentar los dos tipos de riesgos, en el primer caso la
orientación es de minimizar los riesgos si potencialmente son los que producen perdidas, en el
segundo, eliminarlos.
Por otro lado, la siguiente clasificación de riesgos empresariales se deriva de la
estructura general de la empresa. Cada empresa contiene cuatro elementos principales: el
personal, la tecnología, los materiales y el entorno, y en cada uno de estos elementos existe un
potencial de riesgos. Los riesgos que se derivan en el ámbito del personal de la empresa no son
de la misma naturaleza que los del ámbito de la tecnología y por supuesto los efectos
negativos no pueden minimizarse con los métodos adecuados para el otro tipo de riesgo.
2. Entendiendo la Gestión del Riesgo Operacional
9
Desde la misma perspectiva se ha desarrollado una clasificación más detallada basada
tanto en el criterio de la estructura como en el criterio de las principales funciones de una
empresa. En tal perspectiva los riesgos en una empresa son fundamentalmente de carácter
económico, de mercado, financiero, de legalidad, de carácter tecnológico, operacional, entre
otros. Una definición de cada uno de ellos sería:
Riesgos económicos: son riesgos que tiene que ver con la probabilidad de perder la
ventaja competitiva, de empeorar la situación financiera, de bajar el valor de su capital, etc.
Riesgos de mercado: son riesgos relacionados con la inestabilidad de la coyuntura
económica, con las pérdidas potenciales por cambios de los precios de los productos de venta,
con problemas de liquidez, etc.
Riesgos financieros: son los riesgos que se producen normalmente cuando las
contrapartes no cumplen sus obligaciones contractuales.
Riesgos legales: estos riesgos se presenta cuando existe la probabilidad de producirse
pérdidas porque las actividades de la empresa no están conformes con la legislación y la
normativa vigentes o porque la contraparte no tiene la autoridad legal para realizar una
transacción, o porque en un negocio internacional aparece una incoherencia normativa de los
países involucrados.
Riesgos de carácter tecnológico: son los riesgos relacionados con la probabilidad de
daños ambientales, averías, incendios, fallas de los equipos tecnológicos, etc.
Riesgos operacionales: son los riesgos que se producen cuando existe la probabilidad de
pérdidas por errores e ineficiencia de los procesos empresariales. [3]
2.3 Definición de Gestión del Riesgo Operacional
Ahora que conocemos en líneas generales la definición de ERM, podemos decir que la
Gestión del Riesgo Operacional, también conocida como ORM por sus siglas en inglés
“Operational Risk Management”, está asociada a los procesos operacionales, sus elementos y
sus resultados. Cada proceso del sistema de gestión operacional y su entorno debe ser
analizado, para identificar riesgos operacionales a partir de amenazas detectadas, y evaluado,
para tomar medidas correctivas y preventivas.
Para poder comprender mejor esta definición es necesario tener claro lo que se
entiende por “Proceso” y por “Riesgos Operacionales”.
2.3.1 Definición de Proceso
El “Proceso” es un conjunto de actividades o secuencias, ligadas entre sí, que
transforman elementos de entrada en elementos de salida, añadiendo valor al cliente del
proceso, el cual puede ser interno o externo a la organización.
Los componentes de un proceso son:
Entradas (inputs) del proceso de transformación: En general estos “inputs” son una
mezcla de materiales, información y clientes aunque lo habitual es que uno de ellos sea el
recurso predominante. También se pueden considerar como inputs al sistema los recursos
2. Entendiendo la Gestión del Riesgo Operacional
10
empleados para la transformación, la diferencia estriba en que éstos se suelen mantener en el
sistema de transformación durante un tiempo mayor. Podemos distinguir entre:
Recursos físicos: edificios, equipos, tecnología de planta y del proceso.
Recursos humanos: personal que trabaja, planifica, dirige las operaciones,
mantiene los equipos.
Proceso de transformación. Está relacionado con los inputs que debe transformar. Se
puede distinguir entre:
Materiales, cuyo proceso de transformación se refiere a una o varias de las
siguientes características:
o Propiedades físicas o químicas (forma, composición, características).
o Tiempo (almacenaje).
o Espacio (transporte).
o Posesión (transacción comercial de una venta minorista).
Información, por ejemplo, cambios en:
o Propiedades de la información (forma en la que se presenta).
o Tiempo (almacenaje de información en archivos o bibliotecas).
o Espacio (transmisión empleando telecomunicaciones).
o Posesión (por ejemplo, investigación de mercados).
Clientes, por ejemplo, cambios en:
o Propiedades físicas (por ejemplo, cirujanos, peluqueros...).
o Tiempo (por ejemplo, hoteles).
o Localización (por ejemplo, empresas de transporte de pasajeros).
o Estado psicológico de los clientes (por ejemplo, servicios de cultura,
entretenimiento, etc.).
Salidas (outputs) del proceso de transformación. Pueden tener diferentes
características en función de sus atributos. Ejemplos de tales características diferenciadoras
son:
Tangibilidad.
Posibilidad de almacenaje
Simultaneidad entre la producción y el consumo
Grado de contacto con el cliente en el proceso de transformación.
Atributos de la calidad.
A modo de resumen se presenta la siguiente gráfica:
2. Entendiendo la Gestión del Riesgo Operacional
11
Figura 2.1 Elementos del proceso de creación de valor de una empresa. [4][5]
Puede apreciarse que dentro de esta amplia definición pueden incluirse tanto empresas
cuyo “output” fundamental son productos, como empresas cuyo output fundamental son
servicios. También puede señalarse que en la actualidad prácticamente ninguna empresa
puede decir que su proceso de transformación sea únicamente material, sino que el servicio
(calidad, plazo, etc.) solo o acompañando a un producto es una práctica que está creciendo y
está tomando una importancia relevante. [4]
2.3.2 Definición de Riesgo Operacional
La definición de Riesgo Operacional, no resulta tan sencilla ya que a menudo es utilizado
como una categoría genérica de otros riesgos que no sean el riesgo de mercado o de crédito,
lo que ha llevado que esta descripción sea un tanto sobre generalizada y de amplio alcance,
generando así que los distintos sectores empresariales apliquen su definición de una manera
heterogénea.
Se puede decir que en el sector de las finanzas ha nacido el término de riesgo
operacional y por tanto la disciplina de Gestión de Riesgos Operacionales ha sido desarrollada
a partir de esta base. Una definición orientada a este sector y aceptada por muchas
organizaciones, es la definida por el comité de Basilea.
El Comité de Supervisión Bancaria de Basilea es la organización mundial que reúne a las
autoridades de supervisión bancaria y cuya función principal es fortalecer la solidez de los
sistemas financieros. La definición de riesgos operacionales propuesta por el segundo acuerdo
de Basilea (Basilea II), es:
“El riesgo de pérdida resultante por fallas en los procesos internos, humanos y de los
sistemas o por eventos externos. Esta definición incluye el riesgo legal, dejando por fuera los
riesgos estratégico y el de reputación”
Esta definición aunque sea aceptada por muchas organizaciones de distintos sectores,
no se podría considerar apropiada para los objetivos de este proyecto, ya que ha nacido y ha
sido desarrollada en un sector demasiado específico y su extrapolación al resto de industrias
Salidas Recursos transformadores
Recursos a transformar
Proveedor Cliente PROCESO
Entradas
Requerimientos y feedback Requerimientos y feedback
Bienes
Servicios
2. Entendiendo la Gestión del Riesgo Operacional
12
puede resultar errónea. Por lo que se analizará la posibilidad de redefinir lo que se entiende
por riesgo operacional.
Para ello, primero se intentará demostrar que los riesgos operacionales son
ampliamente desarrollados en el sector bancario y menos desarrollados en el resto de
sectores, demostrando así la necesidad de indagar y evolucionar en la disciplina de gestión de
riesgo operacional, por parte del resto de sectores, y más particularmente en el ámbito de la
gestión operacional.
A continuación se muestra un estudio plasmado en el documento “Operational Risk:
From Finance to Operations Management” [6], que determina que el riesgo operacional es
altamente importante para el sector financiero, partiendo de la base del volumen de literatura
publicado relacionado con este tema. Este estudio se ha realizado en dos partes, la primera de
ella es, a partir de las principales revistas o periódicos de Estados Unidos y de Reino Unido que
poseen un enfoque en la gestión de operaciones, se analizado cuantos artículos tienen cómo
tópico el tema “riesgos”. Para ello, se ha buscado en títulos, palabras claves y resúmenes la
palabra riesgo, en cinco revistas distintas y en un periodo comprendido entre 1999 y 2009.
Las revistas que han sido analizadas se han seleccionado a través del ranking SJR
(SCImago Journal Rank), el cual posiciona las revistas en función de un índice de medida (SJR)
que intenta evaluar el impacto, la influencia o el prestigio que posee dicha revista. Este índice
expresa el número promedio ponderado de las citas realizadas, en un año determinado, a los
distintos documentos publicados en la revista en los tres años anteriores.
Estos cinco periódicos son:
The Journal of Operations Management: 0,057 SJR
Production and Operations Management: 0,049 SJR
Manufacturing and Service Operations Management: 0,049 SJR
International Journal of Operations and Production Management: 0,047 SJR
Journal of Supply Chain Management: 0,041 SJR
Por lo que el número de artículos obtenidos que tenían como tópico principal el término
riesgo son los que se muestran en la tabla siguiente:
2. Entendiendo la Gestión del Riesgo Operacional
13
Periódico Año Índice SJR
1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009
The Journal of Operations Management
0,057 SJR 0 0 0 1 1 0 0 2 5 3 5
Production and Operations Management
0,049 SJR 0 3 0 0 1 2 3 0 2 0 3
Manufacturing and Service Operations Management
0,049 SJR 1 0 2 1 0 2 10 0 2 3 2
International Journal of Operations and Production Management
0,047 SJR 2 1 2 2 0 1 1 0 2 0 1
Journal of Supply Chain Management
0,041 SJR 0 0 0 1 2 0 1 6 1 2 1
Total 3 4 4 5 4 5 15 8 12 8 12
Tabla 2.1 Número de artículos focalizados en riesgos de distintos periódicos y revistas de Gestión
Operacional. [6]
Analizando más en profundidad los temas tratados en dichas revistas, se pudo observar
que el tema más recurrido es el relacionado con los riesgos en la cadena de suministro (58%),
pero también se han encontrado artículos que desarrollan la gestión de riesgos en proyectos,
la externalización de los riesgos, etc. Pero notoriamente solo hubo una referencia particular a
los riesgos operacionales sin llegar a usar la definición de Basilea II.
La segunda parte del estudio consistió en analizar el tópico más específico “Riesgo
Operacional” pero en este caso en revistas y periódicos financieros, económicos y de seguros,
también de Estados Unidos y Reino Unido. Para ello, se ha busco en títulos, palabras claves y
resúmenes dicho termino, en seis revistas distintas y en un periodo comprendido entre 1999 y
2009.
Igual que en el caso anterior las revistas fueron elegidas por su índice SJR:
Journal of Finance: 0,102 SJR
Management Science: 0,072 SJR
International Journal of Production Economics: 0,056 SJR
Journal of Money, Credit and Banking: 0,052 SJR
Insurance, Maths and Economics: 0,051 SJR
Journal of Banking and Finance: 0,043 SJR
El resultado obtenido es el que se muestra a continuación:
2. Entendiendo la Gestión del Riesgo Operacional
14
Periódico Año Índice SJR
1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009
Journal of Finance
0,102 0 0 0 0 1 2 3 1 6 4 2
Management Science
0,072 0 0 0 0 0 0 1 2 0 1 1
International Journal of Production Economics
0,056 0 1 0 0 0 4 1 1 3 1 6
Journal of Money, Credit and Banking
0,052 0 0 0 0 2 2 3 1 6 3 2
Insurance, Maths and Economics
0,051 0 0 2 0 1 4 1 0 0 2 7
Journal of Banking and Finance
0,043 0 1 2 6 0 2 5 7 6 7 10
Total 0 2 4 6 4 14 14 12 21 18 28
Tabla 2.2 Número de artículos focalizados en riesgos operacionales de distintos periódicos y revistas
financieras, económicas y de seguros. [6]
Si se realiza un análisis de regresión lineal de ambos datos se obtiene la siguiente
gráfica:
Figura 2.2 Análisis de regresión sobre el número de artículos en periódicos sobre riesgo / riesgo
operacional. [6]
Como se puede observar, los resultado muestran que ha habido una constante de
crecimiento (2,5 veces) por año en el enfoque sobre el riesgo operacional en la segunda
muestra de revistas. En comparación con una tendencia menos significativa en el tema de
“riesgo” en las revistas orientadas a la gestión de operaciones, el cual muestra sólo un
2. Entendiendo la Gestión del Riesgo Operacional
15
incremento del 0,9 y hay que hacer hincapié en que no hace referencia al concepto específico
de riesgo operacional.
Además, es necesario puntualizar dos hechos relevantes, uno es que en la segunda
muestra en el 2009 el 93% de los artículos utilizaron la definición de Basilea II. Y el otro es que
en la primera muestra, en 2005 el periódico Production and Operations Management (POM)
contenía una edición especial de “riesgo”, por lo que si esta edición fuera eliminada, el factor
de correlación aumentaría (R2 =0,75) y el crecimiento anual se situaría en 0,8.
Esto muestra al riesgo operacional como una preocupación creciente en las disciplinas
de finanzas, de economía y de seguros y no tanto en el resto de industrias. Demostrando así,
como se ha mencionado anteriormente, la necesidad de impulsar la disciplina de gestión de
riesgo operacional.
Un buen punto de partida para esta evolución es poder extrapolar la definición de
Basilea II al resto de sectores. Pero dicha definición presenta algunas inconsistencias, la
inclusión de riesgos legales y la exclusión de riesgos reputacionales y estratégicos son los que
generan los mayores desafíos de esta extrapolación.
En el caso de los riesgos reputacionales, si se analiza la relación causa-efecto, se define
la propia causa en el fallo, ya sea, de un sistema, proceso, persona o evento externo, el cual
podría desencadenar tanto una pérdida económica como reputacional (efecto). Como por
ejemplo: el derrame del buque petrolero Exxon Valdez (1989), resulto una perdida financiera
de $1.300 millones de dólares para Exxon Corporation, pero también resultó un daño
reputacional significativo para la empresa, la pérdida de un barco, un daño ambiental y coste
de limpieza evaluado en $2.200 millones (ExxonMobil 2004).
Con los riesgos estratégicos sucede prácticamente lo mismo, ya que éstos son la
consecuencia de una toma de decisión donde el origen (causa) se encuentra principalmente en
las personas, la información y en los eventos externos. Por lo que ninguno de estos dos riesgos
debería excluirse de la definición, ya que son una consecuencia, principal o no, de la definición
básica de Basilea.
Siguiendo con el mismo análisis, se puede argumentar que todos los riesgos se originan
con las "personas", definiendo así la causa. 'Procesos' o 'sistemas' son un paso intermedio ya
que son diseñados y creados por los primeros, e incluso, aunque parezca poco creíble, los
eventos externos se pueden atribuir a las decisiones humanas. Un ejemplo de este último caso
podría ser la pérdida producida por un tornado que destruye un centro, donde según la
definición de Basilea sería atribuida a la perdida producida por un evento externo, pero la
construcción y diseño del centro fue en última instancia una decisión tomada por una persona
o grupo de personas y se puede suponer que el tornado iba a ocurrir independientemente de
la construcción del centro, por lo tanto, la pérdida debe ser atribuida a la construcción del
centro, y de forma más precisa a su diseño. En consecuencia, la pérdida puede remontarse a
las causas originales de una decisión humana y no a las pérdidas producidas por un evento
externo. Por lo que finalmente se puede decir que las causas de todos los riesgos se pueden
atribuir a las personas, pero no es el objetivo que la definición de riesgo sea modificada para
reflejar la relación de causalidad centrada en las personas y buscar el fallo en ellas o en los
sistemas que diseñan.
2. Entendiendo la Gestión del Riesgo Operacional
16
El objetivo es conceptualizar el Riesgo Operacional a nivel de proceso, visualizándolo
como una serie de complejos que interactúan entre sí, compuesto por sistemas, personas,
relaciones internas e influencias externas. Por ejemplo, un fallo en un sistema informático (y
por tanto clasificado como un fallo de sistema) puede deberse a la falta de destrezas del
programador que lo ha diseñado (fallo de persona), lo que a su vez puede ser causado por la
demanda de mercado de conocimientos técnicos específicos en el momento de contratación
del programador (evento externo). Por este motivo se opta clasificar al riesgo operacional en
una categoría única: riesgo en el proceso, situándolo de ésta forma dentro del dominio de la
práctica de gestión de operaciones y no sólo en el ámbito financiero. Además, esta perspectiva
se ve apoyada por la necesidad de visualizar el riesgo como producto de un sistema completo,
y no sólo como el fallo de uno de sus componentes, ya que muchas veces la causa específica
del fallo no siempre es fácilmente identificable. [6]
Por lo que la definición de riesgo operacional que se propone es:
“El fallo potencial en un proceso empresarial que conduce a una pérdida económica,
social, política o ambiental.” [6]
2.4 Objetivos de la Gestión de Riesgos
2.4.1 Objetivos de la Gestión del Riesgo Empresarial
La gestión de riesgo empresarial tiene como objetivo principal lograr la comprensión y el
aprovechamiento de las oportunidades para generar beneficios, mientras se disminuyen las
pérdidas al conocer y atacar las amenazas. Está diseñada para identificar eventos potenciales
que puedan afectar a la empresa y administrar los riesgos para proporcionar una seguridad e
integridad razonable, reduciendo de esta manera, numerosos tipos de amenazas causadas por
el medio ambiente, la tecnología, los seres humanos, las organizaciones y la política, entre
otros. [2]
Por tanto, tiene como objetivo buscar, analizar los riesgos de forma continua y utilizar
esa información para definir las medidas que se pueden tomar y los recursos que se deben
asignar para superar o mitigar esos riesgos, de esta forma puede entregar a las organizaciones
nuevas acciones que puedan ser utilizadas para mejorar la toma de decisión y,
potencialmente, aumentar el valor para el accionista. [1] [7]
Dentro del contexto de misión o visión establecida en una empresa, su dirección
establece los objetivos estratégicos, es decir, selecciona la estrategia y fija objetivos alineados
que fluyen en cascada en toda la organización. La gestión de riesgos empresariales está
orientada a alcanzar estos objetivos, los cuales se pueden clasificar en cuatro categorías: [8]
Estrategia: Objetivos a alto nivel alineados con la misión de la entidad.
Operaciones: Objetivos vinculados al uso eficaz y eficiente de recursos.
Información: Objetivos de fiabilidad de la información suministrada.
Cumplimiento: Objetivos relativos al cumplimiento de leyes y normas aplicables.
Esta clasificación de los objetivos de una empresa permite centrarse en aspectos
diferenciados de la gestión de riesgos. Estas categorías distintas aunque solapables, ya que un
objetivo individual puede incidir en más de una categoría, se dirigen a necesidades diferentes
2. Entendiendo la Gestión del Riesgo Operacional
17
de la empresa y pueden ser de responsabilidad directa de diferentes ejecutivos. También
permiten establecer diferencias entre lo que cabe esperar de cada una de ellas. Dado que los
objetivos relacionados con la fiabilidad de la información y el cumplimiento de leyes y normas
están integrados en el control de la organización, puede esperarse que la gestión de riesgos
empresariales facilite una seguridad razonable de su consecución. El logro de los objetivos
estratégicos y operativos, sin embargo, está sujeto a distintos acontecimientos no siempre
bajo control de la empresa; por tanto, respecto a ellos, la gestión de riesgos corporativos
puede proporcionar una seguridad de que la dirección y el consejo de administración, en su
papel de supervisión, están siendo informados oportunamente del progreso hacia su
consecución. [8]
2.4.2 Objetivos de la Gestión del Riesgo Operacional
Analizando más en profundidad, se puede decir que los objetivos de la gestión del riesgo
operacional es asegurar la producción del producto o servicio mediante el uso eficaz de los
recursos, a través de la generación de medidas preventivas y de la evaluación del riesgo
detectado. En el caso de empresas que ofrecen un servicio continuo o un servicio futuro, como
por ejemplo empresas de generación de energía eléctrica, empresas de telecomunicaciones,
empresas de distribución de gas domiciliario, empresas de transporte, etc. la gestión del riesgo
operacional está asociada a mantener la continuidad y confiabilidad del servicio. [2]
Por lo que se puede decir que los objetivos principales de la Gestión del Riesgo
Operacional son, entre otros: [2][9]
Proteger los activos de la organización.
Garantizar el éxito de la operación y del servicio.
Proteger a las personas y el medio ambiente.
Proteger la viabilidad competitiva a largo plazo.
Fomentar la gestión proactiva.
Mejorar la eficacia y la eficiencia operativa.
Agregar valor a los procesos y a los productos.
Asignar los recursos para hacer frente a los riesgos con eficacia.
Reducir al mínimo las pérdidas de explotación y despilfarro.
Promover una cultura de gestión del riesgo que incremente el entendimiento,
conciencia y acción de las personas, e incluya también la promoción de la
eficiencia y el control efectivo.
Facilitar la identificación de nuevas oportunidades para las operaciones de la
organización.
En la actualidad para que la empresa pueda competir en los mercados globales es
necesario definir un objetivo multidimensional que refleje aquellos aspectos fundamentales
que la gestión de riesgos operacionales debe apoyar. Los objetivos básicos son: [4]
2. Entendiendo la Gestión del Riesgo Operacional
18
Calidad: La calidad es uno de los elementos más visibles para el cliente puesto que
puede juzgarlo con facilidad por lo que tiene gran impacto en su satisfacción y en la posibilidad
que este desee repetir la compra. Por lo que lo primero que debe plantearse la empresa es
“hacer las cosas bien”. Esto significa no cometer errores y entregar a los clientes productos y
servicios que cumplan con sus necesidades.
Fiabilidad de la entrega: Otra característica importante es que se entregue el producto
o servicio en el plazo acordado. Para lograrlo, se debe estimar correctamente la fecha de
entrega, adecuarla a los deseos del cliente, y, posteriormente, asegurar su cumplimiento. El
incumplimiento de este objetivo puede causar el deterioro de la imagen de la empresa y
también la perdida de algunos clientes.
Rapidez: El interés del cliente por obtener rápidamente los bienes y servicios que desea
es evidente en la mayoría de las situaciones. La reducción del tiempo que transcurre entre el
pedido del cliente y su cumplimentación aumenta la disponibilidad de bienes y servicios para
el cliente y por lo tanto éste necesita anticipar menos la comunicación de su necesidad.
Flexibilidad: Esta característica con la que competir puede definirse como la capacidad
de cambiar aquello que se hace. Es decir, la empresa ha de ser capaz de variar o adaptar las
actividades de operaciones a situaciones inesperadas (por ejemplo, la demanda de productos
o servicios es mayor o menor de la esperada, o simplemente los clientes quieren productos o
servicios diferentes). La mayoría de las empresas necesitan cambiar en algún momento sus
operaciones para satisfacer las necesidades de sus clientes, por lo que se necesita disponer de
flexibilidad de producto o servicio, flexibilidad del mix ofertado, flexibilidad en el volumen y
flexibilidad en las entregas.
Coste: Este es el objetivo tradicional en las empresas, el de hacer productos y servicios
con un coste que permita vender en el mercado a un precio suficiente para obtener beneficios
y rentabilizar así las inversiones realizadas. Para poder reducir los costes es necesario mejorar
o aprovechar los recursos existentes a través de mejoras organizativas, de la experiencia en
base al aprendizaje y del avance de la tecnología empleada.
Llevar a cabo estos objetivos no está exento de riesgos y puesto que el riesgo cero no
existe y es inherente a toda actividad empresarial conocer el mapa de riesgos de la
organización y gestionarlo de manera adecuada, no sólo es un factor de ventaja competitiva,
sino que es la manera de asegurar la estabilidad, competitividad y el progreso de la
organización. [2]
2.5 Repercusión de la Gestión de Riesgos
Otro punto importante es dejar reflejado los beneficios que conlleva aplicar un sistema
integral de gestión de riesgos. Por lo que gracias a la gestión del riesgo las empresas pueden:
[7] [8]
Entender la interdependencia de los riesgos y el posible efecto dominó.
Mejorar la ejecución del plan de negocios a través de una mejor comprensión de
la naturaleza de los riesgos y sus posibles efectos sobre los objetivos de la
organización.
2. Entendiendo la Gestión del Riesgo Operacional
19
Entender el nivel de exposición.
Establecer prioridades, asignar y alinear recursos para superar los riesgos en
toda la empresa.
Monitorizar los riesgos y evaluar la eficacia de las acciones de la empresa.
Desarrollar una capacidad sostenible y una mayor confianza en la capacidad de
la organización para ejecutar la estrategia de negocios.
Proporcionar una seguridad razonable de que todos los procesos y sistemas
claves son robustos y fiables, y determinar en qué medida los objetivos de la
organización empresarial son alcanzables.
Disponer de una herramienta útil para informar acerca de procesos y
procedimientos para identificar, medir, priorizar y responder ante los riesgos.
Permitiendo medir con exactitud cómo el equipo se maneja frente a los riesgos
que se enfrenta.
Alinear el riesgo aceptado y la estrategia: en su evaluación de alternativas
estratégicas, la dirección considera el riesgo aceptado por la organización,
estableciendo los objetivos correspondientes y desarrollando mecanismos para
gestionar los riesgos asociados.
Vincular el crecimiento, con el riesgo y el entorno.
Minimizar sorpresas y pérdidas operativas. Las empresas consiguen mejorar su
capacidad para identificar los eventos potenciales y establecer respuestas,
reduciendo las sorpresas y los costes o perdidas asociados.
Mejorar las decisiones de respuesta a los riesgos: proporciona rigor para
identificar los riesgos y seleccionar entre las posibles alternativas de respuesta a
ellos, tales como, evitar, reducir, compartir o aceptar.
Identificar y gestionar los riesgos de toda la empresa. Cada empresa se enfrenta
a múltiples riesgos que afectan las distintas partes de la organización y la gestión
de riesgos facilita respuestas eficaces e integradas a los impactos
interrelacionados de dichos riesgos.
Aprovechar las oportunidades: mediante la consideración de una amplia gama
de potenciales eventos, la dirección está en posición de identificar y aprovechar
las oportunidades de modo proactivo.
Racionalizar el capital.
Responder efectivamente a los posibles acontecimientos futuros que crean
incertidumbre.
2.6 Infraestructura básica de la Gestión del Riesgo Empresarial
Para poder aplicar y mantener un proceso de ERM efectivo, es necesario planificar y
diseñar correctamente una infraestructura de trabajo conforme a la de la organización, para
ello esta infraestructura debería incluir políticas, procedimientos y mecanismos para
2. Entendiendo la Gestión del Riesgo Operacional
20
comunicar los riesgos críticos y su correspondiente gestión a todos los niveles de la empresa.
Estos puntos básicos de la infraestructura son los que a continuación se detallan: [7]
Marco de trabajo de la gestión de riesgos: definiciones de riesgo, principios,
políticas, definición de apetito y tolerancia al riesgo, etc.
Unidad de Gestión de Riesgo Empresarial: creación de una unidad de ERM a
partir de comités de supervisión, delegados de riesgos, etc. integrando todas las
funciones de gestión y definiendo responsabilidades.
Proceso de gestión de riesgo: identificación de riesgos, descripción, análisis y
evaluación, tratamiento y actividades de seguimiento, revisión, información, y
comunicación.
Capacidades de apoyo, tales como herramientas de información, bases de datos,
análisis y modelo de riesgos, formación y capacidades de gestión de cambios.
Esta infraestructura no es estática y necesitará seguimiento y revisión continua para ir
incorporando los cambios que se presentan tanto del entorno interno como del externo,
consiguiendo de esta forma una mejora continua en la infraestructura de trabajo.
En los capítulo siguientes se desarrollará más afondo cada uno de los puntos que
componen esta infraestructura de gestión de riesgos.
3. Marco de Trabajo de la Gestión del Riesgo
21
Capítulo:
3. Marco de Trabajo de la
Gestión del Riesgo
3. Marco de Trabajo de la Gestión del Riesgo
22
3.1 Introducción
La gestión de riesgos es un proceso que se sustenta por una filosofía y un conjunto de
principios, además necesita estar apoyado a una estructura que se ajuste bien a la
organización y a su ambiente externo. Una iniciativa exitosa de gestión de riesgos debe ser
proporcional al nivel de riesgo que se quiere adoptar por la organización (en relación con el
tamaño, la naturaleza y la complejidad de la empresa), estar en línea con otras actividades
corporativas, integrada a las actividades diarias y dinámica ante las circunstancias cambiantes.
3.2 Creación del marco de trabajo
El ambiente interno de la empresa y la cultura de la misma tienen un impacto directo en
la filosofía de la gestión de riesgos. Esta filosofía refleja cómo se consideran los riesgos para el
desarrollo de las estrategias y objetivos de la gerencia, y también cómo se consideran en las
operaciones del día a día para lograr estas estrategias y objetivos. Con el fin de facilitar la
supervisión de riesgos en curso, los miembros de la alta dirección exigen una correcta
comprensión de la filosofía de riesgo de la organización, lo que les permite considerar si la
filosofía es consistente con las expectativas de los grupos de interés de la empresa y adaptar
dichas expectativas a la filosofía cuando se encuentran desalineadas.
La filosofía de gestión de riesgos se puede expresar de forma explícita en un documento,
o puede estar reflejada en la cultura de la organización, o simplemente en la "forma en que se
hacen las cosas". A menudo es útil tener una filosofía bien desarrollada, comprendida y
compartida por toda la organización, pero determinar si existe coherencia de dicha filosofía de
gestión de riesgos con la filosofía general de la empresa puede ser difícil. Algunas empresas
utilizan encuestas a los empleados u otras herramientas para medir el nivel de compromiso
con la filosofía y la coherencia de este compromiso en toda la organización. [10]
Las organizaciones están vinculadas con una amplia variedad de esfuerzos para evaluar
el riesgo y monitorearlo, pero muchas de ellas permanecen en gran parte imposibilitadas de
determinar el valor específico que dichos esfuerzos derivan de sus actividades. Los modelos
emergentes para la administración de riesgo están transformando la forma en cómo los líderes
piensan acerca del riesgo, sobre cómo administran sus negocios y cómo monitorean la manera
en que la gestión de riesgo genera valor. Los líderes pueden participar en esta evolución
aumentando y expandiendo las herramientas y conceptos utilizados actualmente. Esta
evolución de pensamiento se muestra en la tabla siguiente.
De Para
Riesgo como peligros individuales Riesgo en el contexto de estrategia de negocio
Identificación y evaluación de riesgo Desarrollo de la cartera de riesgo
Foco en todos los riesgos Centralización en riesgos críticos
Mitigación de riesgo Optimización de riesgo
Límites de riesgo Estrategia de riesgo
Riesgos sin dueños Responsabilidades de riesgos definidas
Cuantificación de riesgos ocasionales Monitoreo y medición
El riesgo no es mi responsabilidad El riesgo es responsabilidad de todos
Tabla 3.1 Evolución de la Administración del Riesgo. [1]
3. Marco de Trabajo de la Gestión del Riesgo
23
Los primeros modelos de administración de riesgo veían el riesgo como un imperativo
de mercado, algo a ser entendido y analizado por su propia razón. Los nuevos modelos
mantienen que el marco de trabajo de gestión de riesgos debería estar intrínsecamente ligado
a la estrategia de negocios de la empresa, el que comprende una visión establecida de la
organización, su misión y objetivos, sus procesos para definir imperativos organizacionales, y
sus filosofías, políticas, planes e iniciativas de crecimiento y desarrollo. Por lo que, de la misma
forma que la estrategia de negocio indica la dirección del negocio, una estrategia de riesgo
provee una guía para las actividades de riesgo dentro de la compañía.
Se puede establecer el tono para actividades de gestión de riesgos agresivas o
conservadoras, dictar cómo las actividades de medición y monitoreo pueden ser desarrolladas
y entregar “una visión precisa” requerida por la administración y la dirección. De hecho, es la
estrategia de riesgo la que empuja para incluir ERM dentro de la cultura del negocio. La
estrategia de riesgo debería ser implantada y ejecutada por el marco de trabajo de la gestión
del riesgo. Muchas organizaciones hoy en día están diseñando este marco de trabajo que
define como ERM se está insertando dentro de la organización. Este esfuerzo no necesitará
una reinvención burocrática de las estructuras de negocio ya puesta en marcha, sino más bien
de un ajuste de dichas estructuras que ceñirán y alinearán la administración de riesgo con las
estrategias existentes y los esfuerzos de planeación del negocio.
El marco de trabajo considerará los roles y responsabilidades para administrar el riesgo,
creando una unidad de gestión de riesgo empresarial, donde se definirán, tanto
responsabilidades, como claras líneas de reporte, las que darán poder a los gerentes para
actuar dentro de límites definidos ligados al apetito de riesgo. La efectiva integración de este
marco exige que el Directorio desarrolle la propiedad del esfuerzo y demuestre su fuerte
compromiso con él. Para alcanzar este compromiso, el Directorio necesitará tanto educación
como el aseguramiento continuo de que ERM está entregando valor. [1]
La estrategia de riesgo se construye alrededor y en apoyo de la estrategia del negocio,
como se muestra en la Figura 3.1. Para el correcto desarrollo de este marco de trabajo que
apoya la estrategia de la organización, se puede tomar como base el propuesto por la Norma
ISO 31000, el cual comprende: [11]
Diseño del marco de trabajo de la gestión del riesgo.
Aplicación de la gestión del riesgo.
Seguimiento y revisión del marco de trabajo.
Mejora continua del marco de trabajo.
3. Marco de Trabajo de la Gestión del Riesgo
24
Figura 3.1 Marco de trabajo. [1][11]
Para alinear los recursos y acciones de ERM con la estrategia del negocio es necesario
maximizar la efectividad organizacional. Aún más, ligando ERM con la estrategia, los procesos
de riesgo pueden ser desarrollados en el contexto de hacia dónde un negocio es dirigido, y no
solamente basándose en dónde está actualmente. Este diferenciador es crítico en un medio en
que muchas organizaciones están cambiando sus modelos y estrategias de negocios con
rapidez creciente, empujadas por influencias, tales como el aumento del comercio electrónico,
la globalización del negocio y los cambios en las expectativas del consumidor. [1]
Para que el modelo ERM funcione correctamente se necesitan sistemas efectivos,
información precisa y oportuna, aprendizaje organizacional y adaptación exitosa. La
información correcta es necesaria para llegar a las personas adecuadas en el momento
adecuado, y esto requiere una infraestructura, políticas, sistemas y herramientas. En muchas
organizaciones que no tienen un enfoque sistemático de riesgos, los costes de la mala gestión
o los costes directos y colaterales de la falta de la misma, superan ampliamente los costes de la
buena gestión del riesgo. [11] [7]
Por lo que la gestión y la auditoria interna deben ser capaz de responder a las siguientes
preguntas para crear un proceso de ERM completo: [7]
¿Existe un lenguaje común de riesgo? ¿El riesgo es entendido en toda la
organización, o las definiciones de riesgo varían según las áreas de la
organización? ¿El personal entiende los efectos que producen sus decisiones y
acciones en otras partes de la empresa?
¿Existe un inventario de riesgos más relevantes? ¿Este inventario esta
actualizado?
¿Se han identificado las interdependencias e interacciones entre los diversos
riesgos?
3. Marco de Trabajo de la Gestión del Riesgo
25
¿Han sido notificados y examinados los riesgos más significativos por la junta de
directores o por los niveles ejecutivos?
¿Han sido definidos con claridad las funciones y responsabilidades de la gestión
de riesgos y su supervisión?
¿Se han definido y comunicado con claridad las políticas y procedimientos
relativos a la gestión de riesgos y al apetito del mismo dentro de la
organización?
¿Cuál es el coste actual de la gestión del riesgo? ¿Cuál es el coste de la mala
gestión del riesgo? ¿Cuál es el coste de la buena gestión del riesgo?
¿La toma de decisiones está basada en la gestión de riesgos?
¿Existen capacidades y conciencia adecuadas de apoyo, tecnologías y procesos
de formación de gestión de riesgos?
Para que el modelo ERM se pueda implementar con éxito, debe ser “construido en” en
lugar de “atornillado a” la gestión y a los procesos de toma de decisiones, y para ello es
necesaria una relación estrecha con los auditores internos.
3.3 Política de Gestión del Riesgo
Para poder implantar el marco de trabajo de la gestión de riesgos es importante
establecer una política de riesgo común, para ello es necesario: [1] [7]
Utilizar conceptos y un lenguaje común de riesgo.
Definir su enfoque de gestión de riesgos.
Definir su enfoque y apetito del riesgo.
Alinear técnicas de administración de riesgo con la cultura de compañía.
Utilizar tecnología y canales apropiados para una comunicación eficiente.
Obtener el compromiso por parte del presidente y los altos ejecutivos de la
organización.
Asignar responsabilidades dentro de la empresa, incluyendo conceptos de ERM
dentro de las metas personales.
Desarrollar programas de entrenamiento para la administración del riesgo.
Identificar y entrenar “campeones del riesgo”.
Proveer de experiencias exitosas e identificar rápidos resultados.
Desarrollar un sistema para compartir conocimientos.
El conocimiento del entorno externo e interno de la organización también es importante
a la hora de definir la política de ERM, ya que es indispensable analizar el contexto en el que
opera la organización. Comprender, por un lado, el entorno externo de explotación es
necesario para entender las condiciones de negocio y la naturaleza de los riesgos que la
organización puede hacer frente. Y por otro, comprender el entorno interno es también
3. Marco de Trabajo de la Gestión del Riesgo
26
necesario ya que un débil control interno a menudo puede ser la raíz de los fallos que se
pueden presentar. Para comprender el entorno interno de la organización es necesario
analizar la filosofía de gestión, la integridad y valores éticos, la supervisión del consejo de
administración y comité de auditoría, las políticas y prácticas de recursos humanos, el
compromiso y responsabilidades de las autoridades, y la estructura organizativa. Una mayor
vulnerabilidad se asocia típicamente con un alto grado de cambio en el entorno interno y
externo, además de estar relacionado con el personal, los procesos o sistemas, etc. [7]
Si se habla específicamente de la infraestructura de la Gestión del Riesgo Operacional,
es necesario decir que ésta no sólo forma parte de la amplia infraestructura de la Gestión del
Riesgo Empresarial, sino que debe ser una parte totalmente integrada a la planificación y
ejecución de cualquier operación, aplicada de manera rutinaria por la administración y no sólo
como una forma de reacción ante algún problema imprevisto. La determinación cuidadosa de
los riesgos, junto con el análisis y control de los mismos generan un plan de acción que se
anticipa a las dificultades que pueden surgir en un proceso de negocio.
Un punto importante a destacar, es que cuando se establece una política de ORM es
necesario establecer cuatro principios que rigen todas las acciones asociadas a dicha gestión.
Estos principios deberían ser continuamente empleados antes, durante y después de todas las
tareas y operaciones, por los individuos de todos los niveles de responsabilidad. Estos
principios son: [12]
No aceptar riesgos innecesarios: riesgos innecesarios son los que no producen un
retorno proporcional en términos de beneficios u oportunidades. Todo implica riesgos, por lo
que la opción más lógica para llevar a cabo una operación es la que cumple con todos los
requisitos con un riesgo mínimo aceptable. El corolario de este axioma es "aceptar el riesgo
necesario" para completar con éxito la operación o tarea.
Tomar decisiones de riesgo con un nivel adecuado: cualquiera puede tomar una decisión
de riesgo. Sin embargo, la persona adecuada es aquella que puede asignar los recursos para
reducir o eliminar el riesgo y aplicar los controles correctos. Éste debe estar autorizado para
aceptar distintos niveles de riesgo típicos ante una operación prevista (es decir, pérdida de
eficacia operativa, uso y desgaste normal de material, etc.). Un punto importante, es que el
decisor debería elevar las decisiones al siguiente nivel en la cadena de gestión cuando los
controles de los que dispone no reducen el riesgo residual a un nivel aceptable.
Aceptar el riesgo cuando los beneficios sean mayores que los costes: Todos los
beneficios deben ser comparados con todos los costes. Incluso emprendimientos de alto riesgo
pueden llevarse a cabo cuando se tiene la certeza de que los beneficios superan a los costes.
Equilibrar costes y beneficios es un proceso subjetivo, y en última instancia, el balance tiene
que ser determinado arbitrariamente por la persona correcta.
Integrar ORM en la planificación en todos los niveles: Los riesgos son más fáciles de
evaluar y gestionar en las etapas de planificación de una operación. Si se realizan cambios en el
proceso de planificación y ejecución de una operación, cuanto más tarde se hagan, más tiempo
consumirá y, por tanto, más caro resultará.
Los principales desafíos en la implementación del proceso de ORM son: [13]
3. Marco de Trabajo de la Gestión del Riesgo
27
Decisión de apoyar la separación de funciones de la Gestión de Riesgos
Operacionales. Cada vez más frecuentemente las organizaciones visualizan la
importancia de la existencia de un área de riesgos con entidad propia, que
aglutina las diversas funciones de riesgo, aprovechando sinergias con el resto de
áreas (Marketing, Control de Gestión, Auditoría Interna, etc.).
La firme decisión de sostener y apoyar un cambio cultural. La Gestión del Riesgo
Operacional está integrada en todos los procesos y toma de decisiones, lo que
supone la necesidad de compartir información y de ponerla a disposición de
todos sus miembros.
La implementación de metodologías de evaluaciones de riesgo, cualitativas y/o
cuantitativas.
El diseño e implementación de un plan de capacitación a todos los niveles.
La implementación de un modelo de información de gestión. Como mínimo,
debe ser capaz de generar información sobre la evolución de los riesgos, la
efectividad de la estructura de controles, el análisis de tendencias de
indicadores de desempeño, el análisis de sensibilidad, las alertas y acciones a
tomar, etc.
La adopción de una arquitectura tecnológica que soporte al modelo de gestión.
3.4 Apetito y tolerancia al riesgo
El apetito al riesgo de una organización dependerá de su estrategia, como también de
las condiciones evolutivas de su industria y mercados. El apetito al riesgo de cada organización
es único, y variará de acuerdo a la cultura organizacional de la misma. Un aspecto crítico de la
responsabilidad de la administración es determinar qué riesgos y cuántos de ellos debe tomar
la organización, y luego, reevaluar aquellas elecciones a medida que las circunstancias
cambian. A diferencia de la Administración de Calidad Total (TQM, Total Quality
Management), la que no acepta errores, ERM sostiene que un número definido de errores
puede ser tolerado siempre y cuando el coste de protegerse de ellos sea más caro que los
riesgos que ellos suponen. [1]
En el curso de definir la filosofía de gestión de riesgos, una organización puede
encontrar cierta incertidumbre respecto de su apetito real de riesgo, y si este apetito y sus
medidas relacionadas son inapropiadamente establecidas, los líderes pueden tomar decisiones
que toleren más o menos riesgos que los que la estrategia establece como ideal. Como se ha
mencionado anteriormente, los modelos más nuevos de ERM establecen una unión con la
estrategia del negocio, por lo que se puede establecer el apetito y las medidas de riesgo
apropiadas de modo que estén vinculadas con las visiones a largo plazo de la organización.
La filosofía de gestión de riesgos y su apetito por el riesgo están estrechamente
relacionados. Al igual que la filosofía de gestión de riesgos, una rica comprensión del apetito
global por parte de los grupos de interés para la asunción de riesgos, puede servir para
orientar la gestión y a los empleados en la toma de decisiones sobre las estrategias y objetivos.
Pero el apetito por el riesgo es más difícil de expresar de manera clara y completa, algunas
3. Marco de Trabajo de la Gestión del Riesgo
28
empresas luchan con la definición de los niveles de riesgos que están dispuestos a aceptar para
conseguir aumentar el valor de la empresa.
Tan difícil como es el proceso de describir el apetito por el riesgo, es que la gestión
comparta plenamente su punto de vista del apetito de riesgo con toda la empresa, y que la
alta dirección verifique que este apetito por el riesgo se ha fijado en el nivel adecuado en
función de las expectativas de los grupos de interés. El apetito por el riesgo será un factor
clave en el establecimiento de objetivos y selección de estrategias, si una organización
establece metas muy agresivas, entonces debe tener un apetito de riesgo proporcional, por el
contrario, si la organización es muy adversa al riesgo, es decir que tiene un bajo apetito por los
riesgos, entonces, se esperaría que la organización estableciera metas más conservadoras. Del
mismo modo, si la dirección considera estrategias específicas, deberá determinar si esa
estrategia corresponde o se alinea con el apetito de riesgo de la organización.
Al describir el apetito de riesgo, es importante decir que se puede expresar cualitativa o
cuantitativamente, y que también puede ser definido en términos de rangos en vez de
cantidades exactas. Como punto de partida, la administración puede considerar aquellas
estrategias que la empresa no estaría interesada debido al riesgo que conllevan o por el nivel
de riesgo que presentan en relación con los potenciales beneficios. Por ejemplo, algunas
empresas podrían decir que no van a entrar en mercados internacionales, o que no van entrar
en determinados países porque creen que esas actividades son demasiado arriesgadas. Otros
pueden creer que es necesario tomar esos riesgos a fin de lograr el éxito a largo plazo. Muchos
de estos debates se realizan a fin de ajustar las estrategias para trazar el rumbo futuro de las
empresas.
Al debatir los límites de lo que la organización va y no va a hacer, se está empezando a
expresar un apetito por el riesgo. Otra forma de explorar el apetito por el riesgo es realizar un
proceso de examen de impactos de eventos pasados y reacciones de los principales grupos de
interés, como los accionistas, acreedores, clientes, empleados, etc. para tener cierta
perspectiva de cuáles fueron los riesgos aceptados por ellos y cuáles no. También puede ser
útil considerar de una manera similar eventos hipotéticos que podrían ocurrir en el futuro.
Varias preguntas pueden ser planteadas para obtener los distintos puntos de vista de los altos
directivos sobre los niveles de riesgo adecuados para la empresa. Por ejemplo:
¿Los accionistas quieren que la empresa persiga altos riesgos/altos
rendimientos, o prefieren un enfoque más conservador, más predecible?
¿Cuál es la solvencia deseada?
¿Cuál es el nivel deseado de confianza en la obtención de buenos resultados?
¿Qué parte del presupuesto puede estar sujeto a la pérdida potencial?
¿Cuánta volatilidad de ganancias se está dispuesta a aceptar?
¿Hay riesgos específicos que no se están dispuestos a aceptar?
¿Cuál es la disposición al crecimiento de la organización a través de nuevas
adquisiciones?
¿Cuál es la disposición a experimentar daños de reputación o de imagen?
3. Marco de Trabajo de la Gestión del Riesgo
29
¿En qué medida se está dispuesto a ampliar el producto, cliente, o la cobertura
geográfica?
¿Qué cantidad de riesgo se está dispuesto a aceptar en nuevas iniciativas para
lograr un objetivo específico (por ejemplo, 15% de retorno sobre la inversión)?
Existen una serie de consideraciones importantes a tener en cuenta conjuntamente con
el desarrollo del apetito de riesgo de una empresa. Estas consideraciones son:
Comprensión de la cartera de riesgos existentes.
Evaluación de las capacidades.
Tolerancia al riesgo.
Deseo global por el riesgo.
Los beneficios de la gestión en gran medida son gracias a una buena comprensión de la
cartera de riesgos existentes, es decir, las categorías y las concentraciones de riesgo
inherentes al negocio, así como sus capacidades en relación con la gestión de riesgos. Si una
organización es particularmente efectiva en la gestión de determinados tipos de riesgo,
entonces puede estar dispuesto a asumir más riesgo de esa categoría. Por otro lado, si la
organización tiene una alta concentración de riesgo en un área en particular, entonces no
debería existir ninguna intención de asumir más riesgos en esa zona.
Entendiendo las distintas categorías de riesgos de la organización, la administración se
beneficia al describir su apetito por el riesgo dentro de cada una de ellas, pero también es
necesaria una visión global y no sólo por categoría. Por ejemplo, si se considera una empresa
que está evaluando un nuevo servicio que implica la contratación de mano de obra
subcontratada, se puede decir que uno de los principales beneficios de esta oferta es que los
requisitos de capital de puesta en marcha son mínimos. Pero si la empresa sólo ha definido su
apetito por el riesgo en términos del capital que está dispuesto a poner en riesgo en un nuevo
proyecto, esta propuesta podría seguir adelante sin tener en cuenta los riesgos potenciales con
respecto a la reputación de la empresa al utilizar mano de obra subcontratada, la cual no
puede ser controlada plenamente. Por lo que si la empresa ha tenido en cuenta su apetito
ante el riesgo de reputación, entonces las cuestiones con respecto a esta categoría de riesgo,
como los riesgos asociados a la inversión, recibirán la debida consideración en el momento de
evaluar esta nueva propuesta.
Al describir el apetito de riesgo en las diferentes categorías, puede ser conveniente
utilizar definiciones cuantitativas o cualitativas. Cuando el riesgo se puede medir
cuantitativamente, puede ser relativamente fácil afinar en la zona de confort en relación con
los riesgos que asume la organización. Pero, a menudo el apetito de riesgo se define mejor
cualitativamente, tales como alto, moderado o bajo. Si bien las medidas cualitativas pueden
ser menos precisas, aun así dan pautas de cómo se deben regir en la evaluación de los niveles
apropiados de la toma de riesgos.
Otra consideración durante la definición del apetito de riesgo de una organización
corresponde a la evaluación de las capacidades de riesgo de la misma. Capacidad de riesgo se
refiere al impacto máximo que la firma puede soportar y, aun así, seguir siendo una empresa
competitiva. La capacidad de riesgo suele ser expresado en términos de capital, de activos
3. Marco de Trabajo de la Gestión del Riesgo
30
líquidos, o capacidad de endeudamiento. El apetito por el riesgo no debería exceder a la
capacidad de riesgo de una empresa, y de hecho, en la mayoría de los casos, el apetito estará
por debajo de su capacidad.
Las empresas deben considerar también su tolerancia al riesgo, la cual expresa los
niveles de variación que está dispuesta a aceptar en relación a los objetivos específicos. Con
frecuencia, los términos de apetito por el riesgo y tolerancia al riesgo se utilizan
indistintamente, aunque están relacionados, los conceptos son diferentes. Apetito por el
riesgo es una descripción amplia del nivel deseado de riesgo que una empresa querrá asumir
para el cumplimiento de su misión. Tolerancia al riesgo refleja la variación aceptable en los
resultados de las medidas de rendimiento vinculadas a los objetivos que la organización
pretende alcanzar. Así que para determinar la tolerancia al riesgo, la empresa debe examinar
el resultado de sus objetivos fundamentales, tales como el crecimiento de los ingresos, cuota
de mercado, satisfacción del cliente, o las ganancias por acción, y considerar qué rango de
resultados por encima y por debajo del objetivo sería aceptable. Por ejemplo, una empresa
que ha fijado la meta de un índice de satisfacción del cliente del 90% puede tolerar un rango
de resultados entre 88% y 95%, por lo que esta empresa no debería tener un apetito por los
riesgos que pueda poner sus niveles de desempeño por debajo del 88%.
Otro punto importante, es que la empresa debe considerar el deseo global por el riesgo
de sus grupos de interés. Puede darse el caso de que ninguna de las otras consideraciones
limiten el apetito de riesgo de una organización, pero si lo hagan los grupos de interés, por
ejemplo, éstos pueden tener expectativas conservadoras de retorno o un apetito muy bajo
para la asunción de riesgos, lo que afectaría directamente a la definición del apetito de riesgo
de la junta directiva y de la administración.
El factor limitador que en última instancia determina el apetito por el riesgo de una
empresa podría ser cualquiera de estos cuatro elementos. Los objetivos relacionados con las
ganancias por acción, el capital, o los flujos netos de caja se utilizan con frecuencia para
expresar el apetito de riesgo de la alta dirección. Para muchas organizaciones, hay un deseo de
evitar la volatilidad de los ingresos, y por lo tanto los niveles de tolerancia de ganancias por
acción por encima o por debajo de la meta sirven para reflejar el apetito de riesgo de la
empresa.
La definición del apetito por el riesgo proporcionará claridad sobre los riesgos que la
empresa está dispuesta a asumir. En ella se establecen los límites de la empresa, vinculando la
definición de la estrategia, la fijación de objetivos y los procesos de gestión de riesgos. Tener
un debate abierto entre la alta dirección y el consejo de administración con respecto al apetito
de riesgo ayudará a evitar sorpresas y será la base para el desarrollo de las estrategias y los
objetivos fortaleciendo la gestión de riesgos en toda la empresa. [10]
3. Marco de Trabajo de la Gestión del Riesgo
31
Figura 3.2 Elementos claves para determinar el apetito por el riesgo. [10]
3.5 Normas y marcos de trabajo para el desarrollo de ERM
La mayoría de las normas son orientaciones generales que son aplicables a todo tipo de
organizaciones, y deben adaptarse a las características particulares de la misma, a sus
actividades y a su cultura. Algunos de los actuales marcos de trabajo que guían los esfuerzos
de la gestión del riesgo son COSO II, norma ISO 31000 y estándares de FERMA/AIRMIC, entre
otros.
COSO proviene de las siglas en ingles de “Committee of Sponsoring Organizations”
quienes publicaron en 1992 el informe “COSO Internal Control – Integrated Framework”,
denominado como COSO I, el cual define un marco de trabajo en el que el control interno se
trata como un proceso. Fue diseñado para proporcionar una seguridad razonable respecto al
logro de determinados objetivos, como por ejemplo, eficacia y eficiencia de las operaciones,
fiabilidad en los informes financieros, cumplimiento de las leyes y reglamentos, etc.
En 2004 se publicó “COSO’s Enterprise Risk Management - Integrated Framework”,
denominado como COSO II, el cual comprende a COSO I, y tiene como objetivo ofrecer al
consejo y a la dirección (sin tener en cuenta el tamaño ni el alcance de la organización) un
modelo aceptado para la discusión y evaluación de la gestión del riesgo. Este marco incluye
todas las actividades orientadas hacia el logro de los objetivos estratégicos, operativos, de
información, y de cumplimiento. [8]
Nivel actual y concentración de los riesgos a lo largo de
las distintas categorías de riesgos (riesgo financiero, de
mercado, operacional, de reputación, etc.)
Niveles de variación que una empresa está
dispuesta a aceptar en torno a objetivos
específicos.
Cuál es el nivel global de riego
deseado / retorno
Capacidad
de Riesgo
Perfil de
Riesgo
existente
Riesgo máximo que una empresa puede asumir manteniendo su solvencia
Tolerancia
al Riesgo
Nivel
deseado
de Riesgo
Determinación
del Apetito por
el Riesgo
3. Marco de Trabajo de la Gestión del Riesgo
32
Por otro lado, el proyecto de desarrollar una norma ISO sobre la gestión del riesgo
empezó hace poco menos de 10 años, cuando sugirió la necesidad de llegar a un consenso
sobre las definiciones de términos relacionados con la gestión del riesgo. Esto dio lugar a la
creación de la Guía ISO 73 en 2002 donde se definen las terminologías más comunes y
genéricas de la gestión del riesgo, siendo una guía de referencia a seguir.
El objetivo de la Guía ISO 73 es asegurar que todas las organizaciones se encuentran en
la misma página cuando se habla de riesgo. Pero quien avanza más sobre el tema es la norma
ISO 31000 “Gestión del riesgo – Principios y directrices” publicada en 2009, la cual es un
documento práctico que busca asistir a las organizaciones en el desarrollo de su propia
estrategia de gestión del riesgo, pero en ningún caso se trata de un estándar “certificable”. Las
prácticas actuales de gestión incluyen la gestión del riesgo como parte integral de su cultura
como fuente de creación de valor. Con la norma ISO 31000 las organizaciones disponen de una
herramienta para llevar a cabo la revisión de sus prácticas y actividades, estableciendo los
principios, el marco y un proceso para la gestión que pretende ayudar a tratar cualquier tipo
de riesgo de una forma transparente, sistemática y fiable en cualquier ámbito o contexto.
[11][14]
Y por último, hay que mencionar a FERMA/AIRMIC, las siglas de FERMA provienen de su
nombre en inglés “Federation of European Risk Management Associations” y la cual pertenece
a AIRMIC, donde su nombre en inglés es “Association of Insurance and Risk Managers in
Industry and Commerce”. El objetivo del estándar de gestión del riesgo de FERMA es
consensuar, entre otras cosas, el significado del vocabulario utilizado, el proceso a través del
cual se puede llevar a cabo la gerencia del riesgo, la estructura organizativa, los objetivos de la
gerencia del riesgo, etc. [15]
Algunos de los beneficios que las empresas pueden obtener al aplicar cualquiera de
estos estándares pueden ser, la identificación y gestión de riesgos en toda la organización, la
minimización de sorpresas y perdidas, la mejora de la toma de decisiones ante los riesgos, la
disponibilidad de soluciones ante conflictos, entre otros. Aplicar una norma u otra dependerá
de la consonancia con los objetivos de cada organización, pero claro está que
independientemente de cual se aplique se traducirá en grandes beneficios para la
organización.
4. Roles y responsabilidades dentro de ERM
33
Capítulo:
4. Roles y responsabilidades
dentro de ERM
4. Roles y responsabilidades dentro de ERM
34
4.1 Introducción
De manera general, todas las personas que integran una organización tienen alguna
responsabilidad en la gestión de riesgos empresariales. El CRO es su responsable último, otros
directivos apoyan la filosofía de gestión de riesgos de la empresa, promueven el cumplimiento
del riesgo aceptado y gestionan los riesgos dentro de sus áreas de responsabilidad en
conformidad con el apetito al riesgo. El gerente financiero, auditor interno u otros,
desempeñan normalmente responsabilidades claves de apoyo. Los oficiales de riesgos son los
responsables de ejecutar la gestión de riesgos empresariales de acuerdo con las directrices y
protocolos establecidos. La junta directiva desarrolla una importante supervisión de la gestión
de riesgos empresariales, es consciente del riesgo aceptado por la entidad y está de acuerdo
con él. Algunos terceros, como los clientes, proveedores, colaboradores, auditores externos,
reguladores y analistas financieros, proporcionan a menudo información útil para el desarrollo
del modelo ERM, aunque no son responsables de su eficacia en la empresa ni forman parte de
ella. [8]
4.2 Modelo funcional de la gestión de riesgos
Uno de los factores claves de éxito que debe cumplir la gerencia se refiere a la
organización funcional que soporta la Gestión del Riesgo Empresarial. Se entiende, como
hemos mencionado anteriormente, que ERM es efectuada por el personal de todos los niveles
de la organización, sin embargo, es necesario crear una unidad rectora.
A continuación se describen una serie de situaciones que pueden llevar a una empresa
organizar un modelo funcional de ERM: [16]
Atomización de la función de gestión de riesgo: en el enfoque tradicional de
gestión de riesgos es común encontrar funciones dispersas de dicha gestión, por
ejemplo, la unidad de tesorería gestionando los riesgos con enfoques y métodos
diferentes a otras áreas de la organización.
Estructuras organizativas con problemas de independencia: el líder de la unidad
de riesgo podía reportar a la gerencia general generando posibles conflictos de
intereses y potenciales riesgos éticos.
Falta de comité de riesgo: carencia de un grupo colegiado, delegado por la junta
directiva, para organizar la gestión estratégica de los riesgos. Generalmente este
comité se puede confundir con el comité de auditoría.
Carencia de gestión de riesgo operacional: Auditoría interna, por tradición,
detecta cierta categoría de riesgo operacional utilizando un enfoque
metodológico con base al control interno e infiriendo hacia los riesgos, pero,
generalmente, no se incluye la fase de identificación de los riesgos y su
ponderación.
Visión limitada de los riesgos: esto sucede cuando ninguna unidad en la empresa
tiene como misión la creación de una cartera de riesgos de diferente naturaleza,
con el fin de visualizarlos integralmente y gestionar las respuestas de una forma
eficiente y eficaz.
4. Roles y responsabilidades dentro de ERM
35
Poca cultura de riesgo y control.
Los distintos roles y responsabilidades que tienen una relación directa como indirecta de
la gestión del riesgo empresarial, pueden ser los siguientes:
Junta directiva.
Comité de auditoría.
Comité de riesgos.
Gerente de ERM – CRO.
Oficiales de riesgos.
Unidades de negocio y apoyo.
La estructura organizativa de la unidad de riesgo puede ser centralizada a nivel
corporativo o descentralizada entre divisiones o procesos, dependiendo de la naturaleza de los
riesgos en cuestión y las preferencias de la administración. Aunque todavía no exista una
forma correcta o incorrecta para organizarse, algunos principios organizacionales están
emergiendo como se detalla a continuación: [1] [16]
• La administración de riesgo centralizada tiende a enfocarse en los riesgos que
afectan al logro de los objetivos y estrategias corporativas claves y afectan
significativamente no sólo a la mayoría si no a todas las funciones y procesos. La
propiedad de estos riesgos pueden radicar en el comité de riesgos o en la Junta
de Directivos. Otros riesgos que pueden ser centralmente administrados
incluyen aquellos que requieren conjuntos de destrezas especiales que no
pueden ser duplicados a nivel divisional, o aquellos que requieren asociaciones o
contrataciones a nivel corporativo. En este modelo existe un responsable de la
unidad de riesgo, el cual reporta al comité de riesgo, además a él le reportan los
distintos oficiales de riesgos que existen. Algunas características de este sistema
son, todas las funciones de riesgo pertenecen a este departamento, las políticas,
metodologías y procesos de riesgo están centralizados, se delega la
identificación de los riesgos en las unidades de negocio y la evaluación de
control interno en auditoría interna.
• La administración de riesgo descentralizada empuja la responsabilidad de la
administración de riesgo a aquellos que viven con él día a día. Los riesgos que
pueden ser mejor administrados en esta forma son los riesgos a nivel de división
y proceso, que son aquellos que están presentes significativamente sólo en un
proceso en particular pero que, sin embargo, afecta la habilidad de la
organización de implementar exitosamente el total de sus estrategias. Existe un
responsable de la unidad de riesgos, el cual reporta al comité de riesgo. Las
características de este sistema son, se descentralizan ciertas funciones de riesgo
en las unidades de negocio pero estableciendo controles de seguimiento, se
incrementan las funciones de los delegados de riesgos, la identificación y
ponderación de los riesgos se descentraliza en las unidades de negocio y la
auditoría interna evalúa el control interno con base a riesgos.
4. Roles y responsabilidades dentro de ERM
36
A la hora de tener que elegir si se prefiere una administración centralizada o
descentralizada, es necesario evaluar los siguientes aspectos:
Clara integración con las metas de negocios.
Costes de aplicación y de mantenimiento.
Beneficios cuantificables.
Definición de roles y responsabilidades.
Posibles barreras para alcanzar las metas.
Premisas y aceptaciones.
Tiempos de implementación.
Riesgos asociados.
Requerimientos para la gerencia del cambio.
Figura 4.1 Unidad de ERM centralizada. [16]
Oficial de Riesgo
Operacional
Oficial de Riesgo
Financiero
Oficial de Riesgo
Mercado
Oficial de Riesgo
otras funciones
Responsable
Unidad de ERM
Comité de Riesgo
Auditoría
Comité de
Auditoría
Unidades de Negocios y Apoyo
Junta Directiva
Presidencia
Retorno
4. Roles y responsabilidades dentro de ERM
37
Figura 4.2 Unidad de ERM descentralizada. [16]
4.2.1 Junta directiva
La junta directiva tiene la responsabilidad de determinar la dirección estratégica de la
empresa y de crear el entorno y las estructuras necesarias para que la gestión de riesgos opere
de forma eficaz. Esta tarea se puede realizar a través de la alta dirección, de una comisión de
riesgos, de un comité de auditoría o cualquier otra función que se ajuste al modo de operar de
la organización y que sea capaz de actuar como promotor de la gestión de riesgos. Esta entidad
prevé la gobernanza, orientación y supervisión de la gestión de riesgos. Los miembros de la
junta directiva son efectivos si son objetivos, capaces e inquisitivos. La junta puede ser
particularmente eficaz cuando la comunicación fluye ascendentemente. [15][17]
Por lo que el papel de la junta directiva puede ser el siguiente: [1][15][17]
Crear una estrategia de riesgo de alto nivel alineada con los objetivos
estratégicos del negocio.
Establecimiento (en cooperación con la alta dirección) del apetito por el riesgo
de la organización y de la filosofía de ERM que se quiere desarrollar.
Asegurar que la gestión de riesgos empresariales se está desarrollando
eficazmente.
Crear una estructura organizacional de administración de riesgo y asegurar claras
líneas de reporte, desarrollando y asignando responsabilidades.
Estar informado de los riesgos más significativos de la organización, de si la alta
dirección está respondiendo adecuadamente y de la efectividad del proceso de
gestión de riesgos.
Comité de Riesgo Comité de
Auditoría
Auditoría
Retorno
Oficial de Riesgo
Mercado
Oficial de Riesgo
otras funciones
Responsable
Unidad de ERM
Oficial de Riesgo
Operacional
Oficial de Riesgo
Financiero
Unidades de Negocios y Apoyo
Junta Directiva
Presidencia
4. Roles y responsabilidades dentro de ERM
38
Conocer la naturaleza y extensión de los riesgos negativos aceptables por la
compañía que puede absorberlos en su negocio particular, por lo que deben
tener en cuenta la probabilidad de que estos riesgos se conviertan en realidad y
saber tratarlos.
Desarrollar la habilidad de la compañía para minimizar la probabilidad y el
impacto en el negocio.
Conocer los costes y beneficios del riesgo y la actividad de control llevada a cabo.
Tener en cuenta la implicación en los riesgos de sus propias decisiones.
Algunas preguntas claves que deberían realizarse los miembros de la junta directiva para
asegurarse que se implementa un correcto modelo de ERM son: [18]
¿Cuál es la filosofía de gestión de riesgos de la organización?
¿La filosofía es claramente entendida por todo el personal?
¿Cuál es la relación entre ERM, el funcionamiento y valor dentro de la empresa?
¿Cómo es la integración de ERM con las iniciativas de la organización?
¿Cuál es la cultura de riesgo deseada por la organización? ¿Cuál es el apetito de
riesgo?
¿Cuáles son los objetivos estratégicos establecidos y qué estrategias se han
implantado o serán implantadas para conseguirlos?
¿Qué objetivos operativos se han implantado para agregar o preservar el valor?
¿Qué factores internos o externos afectan positivamente o negativamente a la
organización a la hora de implantar las estrategias y conseguir los objetivos?
¿Cuál es el nivel de tolerancia del riesgo de la organización?
¿Es la respuesta ante los riesgos apropiados al nivel de tolerancia?
¿Las actividades de control (por ejemplo, aprobaciones, autorizaciones,
verificaciones, conciliaciones, revisiones de desempeño, seguridad de los
activos, segregación de funciones) son apropiadas en cada nivel de la
organización?
¿La comunicación es efectiva en todos los niveles de la organización?
¿Cómo de efectivo es el proceso de intercambio de información con las partes
externas?
¿Cuál es el proceso de evaluación de la calidad de ERM?
4.2.2 Comité de Riesgo
El comité de riesgos tienen la propiedad definitiva de la responsabilidad de la gestión de
riesgos de la empresa, sus funciones pueden ser: [16] [17]
Asegurar la presencia de un ambiente interno positivo y una cultura de riesgo
dentro de la organización.
4. Roles y responsabilidades dentro de ERM
39
Proporciona liderazgo y dirección a la gestión operativa y supervisa las
actividades generales de riesgos en relación a su apetito por el mismo.
Establecer políticas de riesgo para la organización, de acuerdo con los
lineamientos fijados por la junta directiva.
Aprobar y recomendar límites de exposiciones dentro de las políticas globales
del proceso de gestión de riesgo aprobadas por la junta directiva.
Fijar los límites y facultades para la toma de riesgos bajo las directrices
emanadas de la junta directiva.
Velar que el perfil de riesgo de la organización esté acorde con los lineamientos
establecidos por la junta directiva.
Conocer los riesgos más importantes que afectan a los objetivos de la empresa y
sus respuestas.
Supervisar el desempeño y el cumplimiento de los objetivos de la unidad de
riesgo empresarial, las herramientas de gestión del riesgo y cualquier otro
aspecto relevante relacionado con la gestión de riesgo.
Algunas preguntas claves que deberían realizarse los líderes de esta comisión para
ayudar a determinar si ellos están utilizando efectivamente ERM para optimizar sus riesgos
son: [1]
¿Conozco cuáles son nuestros riesgos?
¿He evaluado exposiciones de riesgo no tradicionales?
¿Entendemos las interrelaciones de nuestros riesgos?
¿Conozco cuál es nuestro apetito de riesgos?
¿Conozco quiénes son nuestros propietarios de riesgos? ¿Poseen ellos sistemas
adecuados para medir y monitorear riesgos?
¿Cuál es la perspectiva de la persona(s), departamento(s) que está supervisando
los riesgos?
¿Tenemos sistemas que promuevan la optimización de riesgo?
¿Buscamos regularmente nuevos mercados, oportunidades de asociación y otras
estrategias de optimización de riesgo?
¿Cómo nuestros sistemas de incentivo afectan a la administración de riesgo?
¿Nuestro entendimiento de riesgo penetra nuestra organización y cultura?
¿Entiende cada individuo su rol y responsabilidad en administrar el riesgo?
¿Es el riesgo considerado una prioridad, en tanto los procesos operacionales son
mejorados?
4.2.3 Unidad de Gestión de Riesgo Empresarial
Dependiendo del tamaño de la empresa, la función de gestión de riesgos puede variar
4. Roles y responsabilidades dentro de ERM
40
desde un simple defensor de la gestión de riesgos, pasando por un gestor de riesgos a tiempo
parcial, hasta un departamento de gestión de riesgos completo. De manera general, las
funciones de esta unidad pueden ser: [15] [16]
Primer defensor de la gestión de riesgos empresariales.
Velar por el cumplimiento de los límites de exposición al riesgo y de los niveles
de aprobación delegados para operaciones que involucren la toma de riesgos.
Analizar y hacer seguimiento del perfil de riesgo y de los indicadores de riesgo en
las unidades de la organización.
Diseñar, desarrollar, proponer modificaciones y mantener actualizadas las
políticas para la gestión del riesgo empresarial.
Someter a consideración del comité de riesgo, los resultados obtenidos en la
cuantificación de las exposiciones al riesgo y las recomendaciones para su
adecuada administración.
Apoyar al comité de riesgo en el diseño de las estrategias del riesgo empresarial.
Revisar los planes de implantación de las estrategias de gestión de los riesgos.
Revisar periódicamente las exposiciones con los principales clientes, sectores
económicos de actividad, áreas geográficas y tipos de riesgo.
Velar, supervisar y controlar el cumplimiento y aplicación de políticas, límites y
metodologías para la gestión de los riesgos.
Crear una cultura consciente de riesgos dentro de la empresa, incluyendo la
formación apropiada.
Establecer la política y estructuras de riesgos internas para las unidades de
negocios.
Diseñar y revisar los procesos de gestión de riesgos.
Coordinar las diversas actividades funcionales que informan de los temas de
gestión de riesgos dentro de la empresa.
Desarrollar procesos de respuesta al riesgo, incluyendo planes de contingencia y
de continuidad del negocio.
Preparar los informes de riesgos para el consejo de administración y los
interesados.
En la mayoría de las empresas suele existir un responsable de esta unidad de ERM, al
cual se le denomina con sus siglas en inglés CRO “Chief Risk Officer”, el cual reporta a la
comisión de riesgos, o a la alta dirección y a él le informan los distintos delegados de riesgo en
las unidades de negocio.
4.2.4 Oficiales de Riesgos
Las funciones de los distintos oficiales de riesgos pueden ser: [15] [16]
4. Roles y responsabilidades dentro de ERM
41
Apoyar a la unidad de ERM en la identificación, análisis, valoración, mitigación,
comunicación y monitoreo de los riesgos en su unidad.
Conducir, directa o indirectamente, la evaluación regular e independiente del
cumplimiento de las políticas, los procedimientos y las metodologías
relacionadas con los riesgos empresariales.
Determinar la eficacia del control interno en relación con el manejo de los
riesgos empresariales en su unidad.
Es responsable de promover la conciencia del riesgo en sus operaciones; deben
introducir objetivos de gestión de riesgos en su actividad.
Comunicar de forma proactiva y oportuna a cada uno de sus gerentes y a la
unidad de ERM, el manejo oportuno y eficaz de los incidentes y vulnerabilidades
de riesgo, así como la necesidad de desarrollar y/o utilizar técnicas optimas en el
control de los riesgos.
Colaborar en la revisión de los planes de acción para gestionar los riesgos de su
unidad funcional.
Elaborar propuestas de acciones para mitigar los riesgos identificados.
Definir y proponer indicadores de riesgo.
Monitorear la implantación de los planes de acción e indicadores.
Deben asegurar que la gestión de riesgos está incorporada en la fase conceptual
de los proyectos, así como a lo largo de la vida de los mismos.
4.2.5 Unidades de Negocio y Apoyo
Las distintas funciones de las unidades de negocio y de apoyo de una organización,
dependiendo si la gestión del riesgo es centralizada o descentralizada, son: [16] [15]
Centralizada:
Las unidades de negocios tienen la responsabilidad primaria de identificar
los riesgos en el día a día, participando activamente.
Seguir y reportar los incidentes y pérdidas por materialización de los
riesgos al responsable de la unidad de ERM.
Designar responsables o delegados de riesgo en cada unidad.
Descentralizada: Las funciones serían las mismas que en el caso anterior añadiendo:
Coordinar y realizar seguimientos periódicos al esquema de control de
riesgos.
Participar activamente en la evaluación del riesgo en su área.
Realizar seguimiento de los indicadores de riesgos.
Participar en la definición e implantación de las acciones correctivas de los
riesgos.
4. Roles y responsabilidades dentro de ERM
42
Implementar las acciones mitigantes definidas para cada uno de los
riesgos identificados, de acuerdo a las prioridades establecidas.
Conducir la evaluación regular del cumplimiento de las políticas de la
organización, los procedimientos y las prácticas relacionados con los
riesgos.
La gestión de riesgos debe ser un tema habitual en las reuniones de la
dirección para considerar las exposiciones y fijar nuevas prioridades en el
trabajo a la luz de un análisis de riesgos efectivo.
Como se puede observar, en el caso de un sistema descentralizado, se incrementan las
funciones en las unidades de negocio y en sus delegados, además se aumenta el flujo de
información, ya que se produce un retorno de la misma debido principalmente a las funciones
de evaluación y ponderación de los riesgos que realizan, que de la otra forma, si fuera
centralizado no pasaría, ya que limita a las unidades de negocio sólo a la identificación de los
riesgos existentes en cada área.
4.2.6 Auditor interno
El papel de la auditoría interna puede variar de una empresa a otra, pero se puede decir
que juega un rol clave en la continuidad del funcionamiento de ERM, monitoreando
objetivamente su aplicación y efectividad, pero hay que destacar que no tiene la principal
responsabilidad de su implementación y mantenimiento. Desde la perspectiva del auditor
interno, ERM es significativamente diferente de los enfoques más tradicionales de gestión de
riesgos. Los auditores han perfeccionado mucho en actividades específicas, con independencia
de otras funciones dentro de la organización. A través del ERM, hay un gran potencial para
evaluar con precisión el riesgo en un panorama general, a escala de toda la empresa. Esto es
especialmente importante, ya que la misión principal de los auditores internos es ayudar a la
gerencia y la junta de directivos para lograr sus objetivos, ayudando a las organizaciones a
centrarse en los esfuerzos de los trabajadores sobre las cuestiones más importantes e impulsar
el valor de las partes más interesadas. El modelo de ERM es más efectivo cuando la auditoria
interna desempeña un papel como asesor en lugar de un organismo de control. [7] [19]
Por lo que la auditoría interna es una actividad independiente, objetiva de
aseguramiento y consulta. Su función principal en relación con ERM es proporcionar a los altos
mandos un aseguramiento objetivo sobre la efectividad de la gestión del riesgo, con el fin de
aumentar el valor añadido y mejorar las actividades de una organización. Se puede decir que la
auditoría interna proporciona principalmente aseguramiento en tres áreas: [19]
Procesos de gestión de riesgos, tanto en su diseño y como en su correcta
aplicación.
Gestión de aquellos riesgos clasificados como claves, incluyendo efectividad de
los controles y demás respuestas a éstos.
Confiabilidad y evaluaciones apropiadas de riesgos, su reporte y estatus de
controles.
En la siguiente figura se presenta un rango de actividades de ERM detallando las
funciones que debería hacer la auditoria interna e, igual de importante, aquellas que no.
4. Roles y responsabilidades dentro de ERM
43
Figura 4.3 Rol de Auditoría interna en ERM. [19]
Las actividades de la izquierda de la Figura 4.3 son todas actividades de aseguramiento.
Ellas forman parte del objetivo amplio de dar aseguramiento sobre la gestión de riesgo.
Específicamente, las Normas Internacionales para el Ejercicio de la Auditoría Interna
desarrolladas por el IIA (Instituto de Auditores Internos) establecen que la auditoría interna
puede y debe realizar por lo menos algunas de estas actividades.
La auditoría interna puede proveer servicios de aseguramiento que mejoren los
procesos de gobierno, gestión de riesgos y control de la organización. Y también puede
desarrollar un rol de consultoría, donde su alcance en ERM depende de varios factores, entre
ellos, la disponibilidad de recursos, tantos internos y como externos, de la madurez de la
gestión del riesgo, de la posibilidad de variar en el tiempo, etc. Si la organización emplea los
servicios de un especialista o posee un departamento de gestión de riesgos, la auditoría
interna podría agregar mayor valor si se concentra en el rol de aseguramiento, en vez de
realizar mayores actividades de consultoría.
Por lo que, si la auditoría interna se centra en un rol de consultoría, es decir en el centro
de la Figura 4.3 debe tener en cuenta, que mientras más a la derecha del cuadro se aventure,
mayores deben de ser las protecciones para asegurarse que la objetividad e independencia son
mantenidas. Algunos de los roles de consultoría que auditoría interna puede realizar son:
Poner a disponibilidad de la gerencia herramientas y técnicas usadas por
auditoría interna para analizar riesgos y controles.
Ser un defensor de la introducción de ERM en la organización, aportando su
experiencia en gestión de riesgo y conocimientos de la organización.
Proveyendo consejo, facilitando talleres, entrenando en la organización sobre
riesgos y controles, y promoviendo el desarrollo de un lenguaje, marco y
entendimiento común.
Actuando como punto central de la coordinación, monitoreo y reporte sobre
riesgos.
4. Roles y responsabilidades dentro de ERM
44
Apoyando a la gerencia en su trabajo a través de identificar mejores vías para
mitigar un riesgo.
Por otro lado, la auditoría interna puede ampliar su participación en el ERM colocándose
en el extremo derecho de la figura, pero siempre y cuando se apliquen ciertas condiciones.
Estas condiciones son:
Debe estar claro que la gerencia mantiene la responsabilidad de la gestión de
riesgo.
La naturaleza de la responsabilidad de auditoría interna debe ser documentada
en los estatutos de auditoría y aprobado por el Comité de Auditoría
Auditoría interna no debe gestionar ningún riesgo a favor de la gerencia.
Auditoría interna debe proveer consejo, motivar y soportar las decisiones
realizadas por la dirección, en vez de tomar decisiones de riesgo por ellos
mismos.
Auditoría interna tampoco puede brindar aseguramiento objetivo en ninguna
parte del marco de ERM de la cual es responsable. Tal aseguramiento debe ser
provisto por otra parte sustancialmente calificada.
Cualquier trabajo más allá de las actividades de aseguramiento debe
reconocerse como una asignación de consultoría y la implementación de normas
relativas a tales asignaciones deben seguirse.
Los auditores internos y gerentes de riesgo comparten algunos conocimientos, destrezas
y valores. Sin embargo, los gerentes de riesgo solamente brindan servicio a la dirección de la
organización y no tienen que proveer aseguramiento independiente y objetivo al comité de
auditoría. Tampoco debe el auditor interno buscar ampliar su rol en el modelo de ERM
subestimando el conocimiento especializado de los gerentes de riesgo. Ningún auditor interno
que no pueda demostrar las destrezas y conocimientos apropiados debe realizar trabajos en el
área de gestión de riesgo. [19]
5. Modelo de ERM para generar valor en la empresa
45
Capítulo:
5. Modelo ERM para generar
valor en la empresa
5. Modelo de ERM para generar valor en la empresa
46
5.1 Introducción
Una vez que se ha definido el contexto de la gestión de riesgos para poder detectar y
tratar los riesgos que rodean a la organización y obtener una ventaja competitiva de ello, es
necesario llevar a cabo un proceso de gestión de riesgos, para definirlo se utilizó como base el
propuesto por la norma ISO 31000: [11]
1. Identificar los riesgos empresariales.
2. Descripción de los riesgos.
3. Análisis de los riesgos.
4. Evaluación de los riesgos.
5. Tratamiento de los riesgos
6. Seguimiento y revisión de los riesgos.
7. Sistema de información y comunicación
Figura 5.1 Modelo de ERM. [11]
5.2 Identificar los riesgos empresariales
La identificación de los riesgos debe ser un proceso interactivo y continuo integrado en
la estrategia y planificación de la organización, además depende de la red de comunicación
dentro de la organización generando un flujo constante de información. Para identificar los
riesgos es necesario utilizar ciertas herramientas que facilitan el desarrollo de la actividad,
pero la técnica a utilizar y los pasos a seguir dependerán de las necesidades y naturaleza de la
organización.
Es importante que la identificación de riesgos sea comprensiva. Debe considerar todas
las interacciones significativas de bienes, servicios e información entre una organización y las
partes externas relevantes. Esas partes externas incluyen proveedores, acreedores,
Identificación de los riesgos
Descripción
Análisis
Evaluación
Tratamiento
5. Modelo de ERM para generar valor en la empresa
47
accionistas, empleados, clientes, compradores, intermediarios y competidores, tanto
potenciales como actuales, lo mismo que organismos públicos y medios de comunicación. [20]
La identificación de los riesgos se propone identificar la exposición de una empresa a la
incertidumbre. Hay que enfocar la identificación de riesgos de forma metódica para asegurarse
de que se han identificado todas las actividades importantes de la organización y que se han
definido todos los riesgos que implican dichas actividades. [15]
No puede gestionarse un riesgo a menos que se identifique, y para ello hay un amplio
rango de técnicas disponibles para hacerlo, todas igual de buenas y válidas. Las técnicas de
identificación de riesgos caen principalmente dentro de tres categorías, que tienen diferentes
perspectivas del tiempo: pasado, presente y futuro. [20]
Revisión histórica. Este método se centra en lo que ya ocurrió en el pasado,
tanto en situaciones parecidas, o en otras comparables. Tiene en cuenta una
selección cuidadosa de puntos de referencia para asegurar que son
genuinamente similares, además es inteligente ya que filtra los datos para
asegurar que sólo se consideran los riesgos relevantes. En cada caso, los
métodos de revisión histórica preguntan si los riesgos que fueron identificados
antes podrían surgir otra vez.
Evaluaciones actuales. Esta técnica requiere la consideración detallada de la
situación actual, analizando sus características con respecto a estructuras y
modelos dados para identificar áreas de incertidumbre. A diferencia del enfoque
de revisión histórica, la técnica de evaluación actual no tiene en cuenta puntos
de referencia, pero está basada puramente en el examen de lo que existe hoy.
Técnicas creativas. Hay muchos enfoques de identificación de riesgos que
animan a la gente a utilizar su imaginación para encontrar los riesgos posibles
que podrían afectar al alcance futuro de objetivos. Esta técnica depende de la
habilidad de los participantes en el proyecto para pensar de forma creativa,
tanto individualmente como en grupos.
Cada tipo de técnica de identificación de riesgos tiene puntos débiles y puntos fuertes, y
no podemos esperar que ninguna técnica revele todos los riesgos conocibles. Las técnicas de
revisión histórica dependen de cómo de relevante sea la experiencia previa de la situación
existente. Las técnicas de evaluación actual dependen de la calidad del proceso de diagnóstico
y de cómo de bien las personas entienden lo que está pasando. El éxito de las técnicas de
creatividad es debido a la habilidad de los participantes para imaginar el futuro. Como
resultado, la mejor solución para la identificación del riesgo es usar una combinación de
técnicas, quizás seleccionando una de cada tipo: pasado, presente y futuro. Por ejemplo puede
ser mejor utilizar una lista de identificación de riesgos (revisión histórica), junto con un análisis
de suposiciones (evaluación actual) y “brainstorming” (creatividad). Es también una buena
práctica involucrar a participantes de diferentes áreas en la identificación de riesgos,
preferiblemente en grupos, porque ven las cosas desde diferentes perspectivas. Una
organización que confía en un único punto de vista o que sólo usa un tipo de técnica de
identificación es probable que olvide riesgos importantes, dejándola expuesta a amenazas que
podrían evitarse, y pasando por alto oportunidades que podrían aprovecharse. Las múltiples
5. Modelo de ERM para generar valor en la empresa
48
perspectivas ofrecen una visión global de todos los riesgos que podrían tener algún tipo de
impacto en la organización, consiguiendo una identificación de riesgos más efectiva. [20]
De modo general, a continuación se nombran algunas de las técnicas que se pueden
utilizar para identificar riesgos: [15]
Tormenta de ideas.
Cuestionarios.
Estudios empresariales que se centren en cada proceso de negocio y describan
tanto los procesos internos como los factores externos que puedan influir en
estos procesos.
Establecimiento de criterios de competencia comparativa (benchmaking) en la
industria.
Análisis de distintos escenarios
Talleres de valoración de riesgos.
Investigación de incidentes.
Auditoría e inspección.
Método HAZOP (Estudios de Azar y operatividad).
Análisis DAFO (Análisis de Debilidades, Amenazas, Fortalezas y Oportunidades).
5.2.1 Identificar los Riesgos Operacionales
Una forma fácil de conocer los riesgos operacionales puede ser a partir del mapa de
procesos de una organización. Por lo que primero es necesario definir cuáles son los distintos
procesos de la misma. Un posible mapa de procesos, simplificado, de toda la empresa puede
ser el que se muestra a continuación:
Figura 5.2 Mapa de procesos de una organización. [5]
Gestión de Recursos Humanos
Mantenimiento de la infraestructura
Compras de infraestructura
Procesos soporte / apoyo
Identificación y revisión de
requisitos
Ventas
Diseño Fabricación
Importación
Instalación Reparación
Procesos operativos
Gestión de la Calidad
Control Económico
Procesos estratégicos
5. Modelo de ERM para generar valor en la empresa
49
Donde, los procesos operativos son aquéllos que justifican la existencia de la
organización aportando alto valor añadido, ya que transforman los recursos para obtener el
producto o servicio. Están directamente ligados a los servicios que se prestan y orientados a
los clientes/usuarios y a los requisitos. En general, suelen intervenir varias áreas funcionales en
su ejecución y son los que pueden conllevar los mayores recursos. Este proceso se puede
dividir en los siguientes subprocesos:
Determinación y revisión de los requisitos del producto/servicio.
Diseño del producto /servicio.
Fabricación desarrollo del producto /servicio.
Ventas.
Importación.
Instalación.
Reparación.
Los procesos de soporte/apoyo son aquéllos que proporcionan los recursos para el resto
de procesos, sin ellos no serían posibles ni los procesos operativos ni los estratégicos, son
determinantes para conseguir los objetivos de la organización. Este proceso se puede dividir
en los siguientes subprocesos:
Gestión de recursos humanos.
Mantenimiento de la infraestructura.
Compras de infraestructura.
Los procesos estratégicos son aquéllos que mantienen y despliegan las políticas y
estrategias de la organización, recogiendo los datos del resto de los procesos. Proporcionan
directrices, límites de actuación e información para la toma de decisiones. Este proceso se
puede dividir en los siguientes subprocesos:
Control económico.
Gestión de la calidad.
Cada uno de estos subprocesos pueden verse afectados por múltiples riesgos, por lo que
a continuación se intenta desglosar para cada uno de dichos subprocesos los distintos riesgos
que pueden aparecer. Este desglose se ha realizado de forma no exhaustiva ya que el fin
principal es que sirva como un ejemplo de aplicación. Es necesario destacar que no todos estos
riesgos pueden generar un resultado negativo en la organización, si no que pueden ser
oportunidades que es necesario aprovechar, por lo que muchos pueden ir en dirección
contraria al objetivo de la organización, pero otros pueden ir en consonancia a la misma. Estos
riesgos pueden ser:
Procesos Operativos:
Riesgos referentes a la identificación y revisión de requisitos:
o Los clientes no necesitan o no quieren.
5. Modelo de ERM para generar valor en la empresa
50
o Anticipación a las necesidades.
o Riesgo de no adaptarse al cambio.
o Herramientas de análisis.
Riesgos referentes al diseño:
o Relación calidad/precio.
o Innovación del diseño.
o Precios no competitivos.
o Satisfacción de los requisitos del cliente.
o Baja aceptación.
Riesgos referentes a la fabricación:
o Riesgo de capacidad ociosa.
o Riesgo de cuello de botella.
o Riesgo de interrupción del proceso de fabricación.
o Eficiencia del proceso productivo.
o Fallos en los productos.
o Riesgo de no casar producción con consumo.
o Flexibilidad del proceso productivo.
o Excedencia de stock.
o Desajustes y desgastes.
Riesgos referentes a las ventas:
o Llegar a tiempo al mercado.
o Competidores.
o Precios competitivos.
o Canales de comunicación.
o Deterioro de la imagen / marca.
Riesgos referentes a la importación:
o Incumplimiento de requisitos legales.
o Incumplimiento de medidas sanitarias.
o Nuevos mercados.
o Canales de distribución.
Riesgos referentes a la instalación:
o Riesgo de incumplimiento de plazos y entrega.
5. Modelo de ERM para generar valor en la empresa
51
o Sistema de transporte y logística.
o Satisfacción del cliente.
o Fallo del producto o servicios incompletos.
Riesgos referentes a la reparación:
o Riesgo de pérdida de clientes.
o Elevado tiempo de espera.
o Atención al cliente.
o Servicio post-venta.
Procesos de soporte/apoyo:
Riesgos referentes a la Gestión de RRHH:
o Cualificación del personal.
o Grado de experiencia.
o Clara definición de responsabilidades y tareas.
o Personal descontento.
o Cansancio y falta de atención.
Riesgos referentes al Mantenimiento de la infraestructura:
o Mantenimiento inapropiado.
o Falta de control.
o Mala aplicación de acciones correctivas.
o Elevado número de averías.
o Cualificación de los técnicos.
o Riesgo de obsolescencia de los equipos/maquinarias/herramientas.
Riesgos referentes a la compra de infraestructura:
o Elección de proveedores.
o Abastecimiento de los inputs del proceso.
o Adquisición/alquiler de edificios/maquinaria.
o Análisis poco profundo de proveedores y suministradores.
o Riesgo de excedentes/faltantes.
o Incumplimiento de plazos.
Procesos estratégicos:
Riesgos referentes al control económico:
o Margen de rentabilidad.
5. Modelo de ERM para generar valor en la empresa
52
o Variabilidad del mercado.
o Impagos.
o Créditos.
Riesgos referentes a la Gestión de Calidad:
o Riesgo de no cumplir control de calidad.
o Procesos bajo control.
o Capacidad del proceso.
o Desconocimiento de las desviaciones del proceso.
o Incapacidad de corrección de las desviaciones.
A continuación se muestra dentro del mapa de procesos los riesgos antes mencionados,
mostrando gráficamente el efecto de que sean riesgos negativos o positivos:
5. Modelo de ERM para generar valor en la empresa
53
Figura 5.3 Mapa de riesgos en los procesos de la organización.
Fallo en el producto / servicio incompleto
Sistema de transporte y logística
Incumplimiento de plazos y entregas
Satisfacción del cliente
Procesos bajo control
No cumplir control de calidad
Capacidad del proceso
Desconocimiento de desviaciones del
proceso
Variabilidad del mercado
Impagos Margen de
rentabilidad
Créditos
Procesos estratégicos
Procesos operativos
Procesos soporte/apoyo
Riesgo de no adaptarse al cambio
Los clientes no necesitan
Anticipación a las necesidades
Herramientas de análisis
Pérdida de clientes
Elevado tiempo de espera
Servicio post-venta
Atención al cliente
Elección de proveedores Abastecimiento de los
inputs del proceso.
Excedentes y faltantes Cualificación de
técnicos
Riesgos de obsolescencia
Mantenimiento inapropiado
Falta de control
Cualificación del personal
Grado de experiencia
Personal descontento
Cansancio y falta de atención
Eficiencia del proceso
Fallos en los productos Capacidad ociosa
Flexibilidad del proceso
Relación calidad/precio
Innovación
Precios no competitivos
Llegar a tiempo al mercado
Canales de comunicación
Deterioro de la imagen/marca
Incumplimiento requisitos legales
Canales de distribución Nuevos mercados
Incumplimiento medidas sanitarias
5. Modelo de ERM para generar valor en la empresa
54
5.3 Descripción de los riesgos
El siguiente paso es la descripción de los riesgos, ésta descripción proporciona los riesgos
de una forma estructurada que garantiza un proceso completo de identificación sistemática de los
mismos con un nivel de detalle uniforme, y contribuye a la efectividad y calidad de la
identificación de riesgos, facilitando su valoración y dando así, prioridad a los riesgos claves que
tienen que ser analizados con más detalle. [15]
Una forma fácil de describir los riesgos es utilizando una tabla. Es importante que todos los
riesgos identificados formen parte de esta tabla, y que no sean excluidos por pensar que no son
importantes y/o poco significativos. En este punto y sucesivos se irá describiendo cómo se puede
ir configurando esta tabla, incorporando los aspectos más importantes del riesgo y su gestión.
[20]
La información posible que se podría incluir esta tabla, con respecto a la descripción de los
riesgos, puede ser la siguiente: [15] [21]
Nombre del riesgo: como claramente se indica, se puede llamar al riesgo por su
nombre o incluso codificarlo de alguna forma.
Fecha de detección del riesgo: documentar en qué momento se detectó el riesgo.
Descripción cualitativa del riesgo: descripción de los sucesos, su tamaño, tipo,
número y dependencias, etc.
Interesados: interesados, tanto internos como externos.
Antecedentes de pérdidas: registrar incidentes anteriores y la experiencia adquirida
en acontecimientos relacionados con dicho riesgo.
Naturaleza del riesgo: en este punto se distinguen los distintos tipos de naturaleza
del riesgos, los cuales se podría clasificar en:
o Riesgos puros o riesgos especulativos.
o Riesgos inherentes o riesgos incorporados.
Descripción de detalle: este punto hace hincapié al nivel de detalle que se quiere
describir el riesgo, dependiendo de la empresa, algunas identifican sólo un número
pequeño de riesgos de alto nivel mientras que otras tienen centenares o miles de
riesgos detallados. Una descripción de riesgo generalizada o de alto nivel puede
crear dificultades en desarrollar respuestas y apropiamiento, mientras que el
describir riesgos con todos los detalles puede crear mucho trabajo. Los riesgos
pueden ser de Nivel 0, Nivel 1, Nivel 2, etc. La descripción de detalle de los distintos
riesgos permite partir de una definición concreta de los mismos, logrando un nivel
de uniformidad y armonía en el momento de su identificación, eliminando o
reduciendo la posibilidad de introducir designaciones diferentes para un mismo
riesgo.
Este último punto requiere una especial mención, ya que es importante para la empresa
saber definir cuál es el nivel de detalle óptimo de sus riesgos en función de sus objetivos. Para
5. Modelo de ERM para generar valor en la empresa
55
poder hacerlo es necesario considerar tres componentes claves: gestión, apropiamiento e
información. [21]
1. Los riesgos se deben describir al nivel al que se van a gestionar. Una descripción de
alto nivel tal como “algo improvisto puede pasar durante un proyecto” no es útil ya
que ninguna acción de gestión es posible a este nivel. Demasiado detalle tampoco
tiene sentido, por ejemplo: “Puede que Jorge Pinzón, arquitecto del sistema menor,
rompa su pierna derecha en el partido de fútbol del próximo martes por la noche y
que no pueda terminar los dibujos de diseño detallados de la Fase 2.4.2.” Por lo que
puede que sea mejor describir el riesgo de la siguiente forma: “Puede que personal
clave no esté disponible cuando se necesita para terminar el diseño del sistema.” A
este nivel, el riesgo se puede gestionar de manera proactiva, al planear
prudentemente el uso de recursos, al usar sustitutos o asistentes, y al asegurar que
tareas claves no se asignan a una sola persona. Aunque, dependiendo del tipo de
riesgo que sea, será necesario gestionar algunos riesgos a un nivel detallado
mientras que otros se pueden abordar desde un nivel más alto.
2. Cada riesgo se debe describir a un nivel de detalle para que se pueda asignar a un
solo gestor, con una responsabilidad clara de abordar el riesgo. Sin embargo esto
permite alguna variación en el nivel de descripción de riesgo, ya que dentro de la
categoría de gestores de riesgo se pueden incluir miembros del equipo menor que
pueden ser responsables de riesgos detallados o altos directivos que se interesan
sólo en el nivel más alto.
3. El nivel de descripción de riesgo debería satisfacer las necesidades de información
de la persona que recibe el informe del riesgo. Los miembros del equipo de trabajo
necesitan descripciones de riesgo detalladas para aquellos sobre los que tienen la
responsabilidad de gestionar. Y por otro lado, los altos directivos necesitan menos
detalles, quizá con grupos de riesgos resumidos en descripciones de alto nivel.
Cada una de estos tres puntos sugiere que la descripción de riesgo sirve a varios niveles
para propósitos diferentes, pero no hay un solo nivel correcto que satisfaga toda necesidad.
Una herramienta útil para abordar este asunto es la Estructura de Desglose del Riesgo
(conocido como RBS, por su nombre en inglés Risk Breakdown Structure), la cual es una estructura
jerárquica que describe las fuentes de los riesgos que afronta un proyecto. Esta herramienta ha
sido diseñada específicamente para abordar los riesgos a los que se enfrenta una organización
cuando está desarrollando un proyecto nuevo, pero es perfectamente extrapolable a toda una
organización sea cual fuere su forma de trabajo.
RBS surgió de “Work Breakdown Structure”, WBS, la cual es una herramienta importante
para la gestión de proyectos ya que proporciona un medio para estructurar el trabajo
presentándolo de una forma jerárquica, manejable y definida, proporcionando así una base para
la planificación, comunicación, información y rendición de cuentas del proyecto. De la misma
manera, la información sobre los riesgos puede ser organizada y estructurada para proporcionar
una presentación estándar de los riesgos del proyecto facilitando su compresión, comunicación y
gestión. Esta estructura de RBS, siguiendo con la definición de WBS, se puede expresar como una
agrupación de fuentes de riesgos que organiza y define la exposición al riesgo de todo el proyecto,
5. Modelo de ERM para generar valor en la empresa
56
donde cada nivel descendente representa una definición más detallada de cada fuente de riesgo.
[21][22]
Cada organización diseñara una estructura de RBS diferente, e incluso dentro de cada
empresa se puede desarrollar una sola estructura de RBS genérica que cubra todos los riesgos, o
puede desarrollar distintas estructuras en función de las distintas áreas que se deseen analizar. En
la Tabla 5.2 se presenta un modelo de RBS genérico que puede servir como punto de partida para
ayudar a una organización a desarrollar la propia.
Primero se encuentra el nivel superior (Nivel 0), en el cual se engloban simplemente todos
los riesgos, es decir “Riesgos Empresariales”. Este se puede dividir en distintas fuentes de riesgo
importantes, lo que determinaría el Nivel 1, tales como Riesgos Económicos, de Mercado,
Financieros, Riesgos Legales, Riesgos Tecnológicos, Riesgos Operacionales, etc. Cada uno de estos
riesgos se puede detallar más en el siguiente Nivel 2.
Los distintos niveles de RBS se pueden usar para propósitos diferentes. El informe de riesgo
detallado, apropiamiento y gestión se puede centrar en el nivel más bajo. Niveles más altos de
RBS permiten que los grupos de riesgos se junten y resuman para informar a los niveles más altos
de la organización. Así puede que un técnico de ERM necesite saber de un riesgo determinado
que afecta un problema específico (RBS, Nivel 4), mientras que el ERM Manager se puede
interesar en el nivel general de riesgo que afronta cierta área de la empresa (RBS Nivel 1).
Debido a la gran cantidad de datos sobre los riesgos generados es necesario que los mismos
estén estructurados en distintos niveles de detalle, para facilitar así su comprensión e
interpretación, y por lo tanto, sirva como base para la acción. [21][22]
A continuación se muestra en la Tabla 5.1 un ejemplo sobre cómo se puede presentar toda
la información relacionada con la descripción del riesgo:
Descripción del Riesgo
Codificación
Nombre
Fecha de detección
Descripción cualitativa
Naturaleza Riesgo puro / especulativo
Riesgo inherente / incorporado
Nivel de detalle
Nivel 0
Nivel 1
Nivel 2
Interesados
Antecedentes de pérdidas
Tabla 5.1 Gestión del riesgo: Descripción del Riesgo.
5. Modelo de ERM para generar valor en la empresa
57
Nivel 0 Nivel 1 Nivel 2
Riesgos Empresariales
Riesgos Económicos
Perder ventaja competitiva
Empeoramiento de situación financiera
Descenso del valor del capital
Cambios de la situación económica del sector
Mala política de gestión de la empresa
Mala política de distribución
…
Riesgos de Mercado
Cambios en los precios de los productos
Competencia
Cambios en la demanda
Inestabilidad económica
…
Riesgos Financieros
Pago de intereses
Amortización de las deudas
Cambios en las tasas de interés
Cambios en los tipos de cambios
Problemas de liquidez
….
Riesgo Legal
Disconformidades con la legislación
Incoherencia con normativas
Gestión del fraude
Obstáculos regulatorios y políticos
…
Riesgos Tecnológicos
Daños ambientales
Averias, fallas en equipos tecnológicos
Cambios de la tecnología
Limites tecnológicos
Tecnología madura
….
Riesgos Operacionales
Fallos en las operaciones
Fallos en los procesos de soporte
Errores del producto
Satisfacción del cliente
Fallos de abastecimiento
…
… ….
Tabla 5.2 Estructura de desglose de Riesgos – Ejemplo. [21]
5.4 Análisis de los riesgos
En este apartado se establece una valoración de los riesgos en base a la información
obtenida en las etapas anteriores, con el fin de proveer información para establecer el nivel de
riesgo y las acciones que se van a tomar. Este análisis puede realizarse de manera cuantitativa,
5. Modelo de ERM para generar valor en la empresa
58
semicuantitativa o cualitativa, pudiendo realizarse con diferentes grados de detalle dependiendo
del riesgo, de la finalidad del análisis y de la información, así como de los datos, los recursos
disponibles y la naturaleza del proyecto.
Mediante la definición de límites de riesgo en términos de atributos específicos o
mediciones, el análisis se puede realizar y por tanto, se pueden tomar acciones. El logro de este
resultado requiere una definición cuidadosa de las medidas de desempeño, tanto cuantitativas,
como cualitativas. Otros métodos de análisis incluyen el uso de auditores internos y externos,
comparaciones con el mercado u otra información, y revisión retroactiva de los resultados de
riesgo. Las compañías deberían definir los sistemas de análisis y medición que mejor sirvan a sus
estilos de administración y características. [1]
A continuación se definen las bases para desarrollar análisis cualitativos y cuantitativos:
Análisis cualitativo:
El análisis cualitativo se utiliza cuando los riesgos no se pueden cuantificar de manera
adecuada, cuando no hay suficientes datos fiables o cuando el análisis cuantitativo no es rentable.
Por lo que el análisis cualitativo se utiliza a menudo como un análisis inicial y rápido. Además es el
método preferido cuando se analizan áreas o trabajos de una empresa que son pequeñas y
simples. [23]
Existen distintos tipos de análisis cualitativos, entre ellos se pueden citar: matriz de
probabilidad e impacto para calcular los factores de riesgos, técnica de seguimiento de los diez
factores de riesgo más importantes, evaluación del juicio de expertos, etc.
La matriz de probabilidad e impacto es la herramienta más comúnmente aplicada por las
empresas, y se basa en la clasificación de la probabilidad de ocurrencia del riesgo y su impacto en
distintas escalas. Para realizar este análisis cualitativo es necesario contar con los participantes
adecuados, ni muchos ni pocos, de cualquier campo de la empresa con experiencia, intuición y
capacidad para definir objetivamente esta matriz de riesgos. Además es necesario definir los
términos que se van a utilizar para evitar confusiones y mantenerse enfocado, es decir, poner un
límite de tiempo de discusión si es necesario. También es importante registrar los resultados y dar
prioridad a los riesgos que resultan ser importantes.
A la hora de determinar el rango de escalas que se podría utilizar es necesario conocer el
nivel de detalle y valoración que se desea obtener. Muchas empresas opinan que una posible
escala podría ser: bajo, medio y alto, obteniendo así una matriz de 3x3. Otras creen que usar una
matriz de 5x5 les proporciona una mejor valoración. En este caso se analizará una matriz de 3x3.
Un punto importante a tener en cuenta es que la probabilidad requiere distintas
definiciones de escala dependiendo si estamos ante riesgos que pueden generar amenazas o ante
riesgos que pueden generar oportunidades. Estas escalas serían: [15]
5. Modelo de ERM para generar valor en la empresa
59
Estimación Descripción Indicadores
Alta (Probable) Susceptible de ocurrir cada año o más del 25% de probabilidad de que ocurra.
Posibilidad de que suceda varias veces en el período de tiempo (por ejemplo 10 años). Ha ocurrido recientemente.
Media (Posible) Susceptible de ocurrir en un período de diez años o menos del 25% de probabilidad de que ocurra.
Podría suceder más de una vez en el período de tiempo (por ejemplo, diez años). Podría ser difícil de controlar debido a varias influencias externas. ¿Hay un historial de ocurrencias?
Baja (Remota) No es susceptible de ocurrir en un periodo de diez años o menos del 2% de probabilidad de que ocurra.
No ha sucedido. Poco probable que suceda.
Tabla 5.3 Probabilidad de ocurrencia – Amenazas. [15]
Estimación Descripción Indicadores
Alta (Probable) Es probable que se alcancen resultados favorables en un año o más del 75% de probabilidad de que ocurra.
Oportunidad clara, que se puede barajar con razonable certeza y conseguir a corto plazo basándose en los procesos de gestión actuales.
Media (Posible) Perspectivas razonables de resultados favorables en un año o del 25% al 75% de probabilidad de que ocurra.
Oportunidades alcanzables pero que requieren una gestión cuidadosa. Oportunidades que pueden surgir fuera de lo previsto.
Baja (Remota) Cierta posibilidad de resultados favorables a medio plazo o menos del 25% de probabilidad de que ocurra
Oportunidad posible que aún tiene que ser investigada completamente por la dirección. Oportunidad en la que la probabilidad de éxito se considera baja, partiendo de los recursos de gestión que se están aplicando en este momento.
Tabla 5.4 Probabilidad de ocurrencia – Oportunidades. [15]
Luego, la escala para analizar el impacto, tanto para riesgos que generan amenazas y
riesgos que generan oportunidades, sería:
Altas El impacto financiero en la empresa es susceptible de superar €x.
Fuerte impacto en la estrategia o en la operatividad de la empresa.
Elevado interés de los afectados.
Medias El impacto financiero en la empresa es susceptible de superarse entre €x y €y.
Impacto moderado en la estrategia o en la operatividad de la empresa.
Moderado interés de los afectados.
Bajas El impacto financiero en la empresa es susceptible de situarse por debajo de €y.
Bajo impacto en la estrategia o en la operatividad de la empresa.
Bajo interés de los afectados.
Tabla 5.5 Impacto - Amenazas y oportunidades. [15]
5. Modelo de ERM para generar valor en la empresa
60
Por lo que la matriz obtenida quedaría como se muestra en la Figura 5.4. Esta matriz se
puede dividir en tres zonas de distintos colores: rojo, amarillo y verde, pudiendo observar
fácilmente que riesgos requieren acción inmediata y cuáles no. Los que se encuentran en la zona
roja deberían ser movidos dentro de un rango aceptable o incluso eliminarlos completamente.
Los riesgos en la zona verde pueden ser candidatos a controles reducidos. [22][23]
Figura 5.4 Matriz de Probabilidad e Impacto. [22]
Análisis cuantitativo:
Los análisis cuantitativos son generalmente preferidos a los cualitativos ya que tienden a
lograr resultamos más precisos asignando valores numéricos a los riesgos y utilizando datos
empíricos. Se utilizan cuando se necesita un desarrollo más complejo y sofisticado, cuando los
riesgos son altamente importantes o para completar un análisis cualitativo. Estas técnicas, por lo
general, requieren un mayor rigor y dependen de la calidad de los datos de entrada y de los
supuestos. Por lo que el análisis de riesgo cuantitativo se ocupa específicamente de la revisión
cuantitativa de los riegos determinando numéricamente la frecuencia de ocurrencia, el valor
monetario del activo, el impacto económico y el daño producido. [23]
A continuación se analizarán dos categorías distintas de análisis cuantitativo de riesgos:
análisis determinista y análisis estocástico. El primero de ellos utiliza estimaciones en un solo
punto, pudiendo el analista asignar valores a situaciones independientes para ver los resultados
que se podrían producir en cada una .El analista normalmente examina tres resultados diferentes:
[24]
El peor de los casos: todos los costes tienen el valor más alto posible, mientras que
los ingresos por ventas responden a la estimación más baja posible. El resultado es
la pérdida de dinero.
El mejor de los casos: todos los costes tienen el valor más bajo posible, mientras
que los ingresos por ventas responden a la estimación más alta posible. El resultado
es la ganancia de mucho dinero.
El caso más probable: los valores que se seleccionan son los intermedios para los
costes e ingresos, y el resultado muestra una ganancia moderada de dinero.
Este método tiene varios problemas:
Sólo se consideran unos pocos resultados independientes, y se ignoran cientos o
miles más.
Se da el mismo peso a cada resultado. Es decir, no se trata de evaluar la
probabilidad de cada uno.
5. Modelo de ERM para generar valor en la empresa
61
Se ignora la interdependencia entre las variables de entrada, el impacto de las
diferentes variables sobre el resultado y otros detalles, simplificando en exceso el
modelo y reduciendo su precisión.
Por otro lado, se encuentra el análisis de riesgo estocástico, en particular la simulación de
Monte Carlo, el cual realiza el análisis de riesgo con la creación de modelos de posibles resultados
mediante la sustitución de un rango de valores, una distribución de probabilidad, para cualquier
factor con incertidumbre inherente. Mediante el uso de distribuciones de probabilidad, las
variables pueden tener diferentes probabilidades de producir diferentes resultados. Y describen
de una forma más realista la incertidumbre en las variables de un análisis de riesgo. Las
distribuciones de probabilidad más comunes son Normal, Lognormal, Uniform, triangular,
discreta, etc.
Durante una simulación Monte Carlo, los valores se muestrean aleatoriamente a partir de
las distribuciones de probabilidad introducidas. Cada grupo de muestras se denomina iteración, y
el resultado correspondiente de esa muestra queda registrado. La simulación Monte Carlo realiza
esta operación cientos o miles de veces, y el resultado es una distribución de probabilidad de
posibles resultados. De esta forma, la simulación Monte Carlo proporciona una visión mucho más
completa de lo que puede suceder. Indica no sólo lo que puede suceder, sino la probabilidad de
que suceda. [24]
La simulación Monte Carlo proporciona una serie de ventajas sobre el análisis determinista:
[24]
Resultados probabilísticos. Los resultados muestran no sólo lo que puede suceder,
sino lo probable que es un resultado.
Resultados gráficos. Gracias a los datos que genera una simulación Monte Carlo, es
fácil crear gráficos de diferentes resultados y las posibilidades de que sucedan. Esto
es importante para comunicar los resultados a otras personas interesadas.
Análisis de sensibilidad. Con sólo unos pocos resultados, en los análisis
deterministas es más difícil ver las variables que más afectan el resultado. En la
simulación Monte Carlo, resulta más fácil ver qué variables introducidas tienen
mayor influencia sobre los resultados finales.
Análisis de escenario. En los modelos deterministas resulta muy difícil modelar
diferentes combinaciones de valores de diferentes valores de entrada, con el fin de
ver los efectos de situaciones verdaderamente diferentes. Usando la simulación
Monte Carlo, los analistas pueden ver exactamente los valores que tienen cada
variable cuando se producen ciertos resultados. Esto resulta muy valioso para
profundizar en los análisis.
Correlación de variables de entrada. En la simulación Monte Carlo es posible
modelar relaciones interdependientes entre diferentes variables de entrada. Esto
es importante para averiguar con precisión la razón real por la que, cuando algunos
factores suben, otros suben o bajan paralelamente.
Para finalizar este punto a continuación se analiza los aspectos positivos y negativos de los
análisis cuanlitativos y cuantitativos.
5. Modelo de ERM para generar valor en la empresa
62
Cuantitativo Atributos Cualitativo
- Complejidad de elaboración +
- Utilización de recursos, tiempo, coste. +
+ Mediciones objetivas e independientes -
+ Resultados más exactos -
+ Relación coste/beneficio del análisis -
- Necesidad de información requerida +
+ Facilidad de automatización -
Tabla 5.6 Aspectos positivos y negativos de los análisis cuantitativos y cualitativos.
Independientemente de si se prefiere un análisis de riesgo cuantitativo o cualitativo,
también puede ser útil conocer los distintos tipos de análisis que existen en función de si los
riesgos son positivos o negativos. A continuación se lista una recopilación de estos métodos y
técnicas: [15]
Riesgos positivos:
Estudios de mercado.
Prospección.
Pruebas de mercado.
Investigación y desarrollo.
Análisis de impacto en el negocio.
Riesgos negativos:
Análisis de amenazas.
Análisis del árbol de fallos.
Análisis FMEA (Failure Mode & Effects Analysis, análisis de los modos de fallos y sus
efectos).
Ambos:
Establecimiento de modelos de dependencia.
Análisis DAFO (debilidades, amenazas, fortalezas y oportunidades).
Análisis del árbol de sucesos.
Planes de continuidad del negocio.
Análisis BPEST (Business, Political, Economic, Social, Technological. De negocio,
político, económico, social, tecnológico).
Establecimiento de modelos de opción real.
Toma de decisiones en condiciones de riesgo e incertidumbre.
Inferencia estadística.
Medidas de tendencia central y dispersión.
5. Modelo de ERM para generar valor en la empresa
63
PESTLE (Political, Economic, Social, Technical, Legal, Environmental. Político,
económico, social, técnico, legal, medioambiental).
Por lo que continuando con la creación de la tabla de gestión de riesgos, ésta se puede
ampliar añadiendo lo referente al análisis de los riesgos:
Descripción Análisis del Riesgo
Codificación Nombre Probabilidad Impacto Nivel
Color
Tabla 5.7 Gestión del riesgo: Análisis del Riesgo.
5.5 Evaluación de los riesgos.
Cuando el proceso de análisis de riesgos se ha llevado a cabo, es necesario comparar los
riesgos estimados con los criterios de riesgo establecidos por la empresa, para poder generar un
perfil de riesgo con una calificación de importancia. Para realizar esta calificación de importancia
se pueden aplicar ciertos criterios como por ejemplo costes y beneficios asociados, requisitos
legales, factores socioeconómicos y medioambientales, preocupaciones de los interesados, etc.
Una vez establecida esta calificación se puede priorizar los esfuerzos de tratamiento de
dicho riesgo, indicando si el tratamiento a aplicar debería ser de acción inmediata, normal o
pasiva. Por tanto, se usa la evaluación de riesgos para tomar decisiones acerca de la importancia
de los riesgos para la empresa y sobre si se debe aceptar o tratar un riesgo específico. [11] [15]
Una forma visual de evaluar las acciones que deben ser tomadas puede ser a partir de la
propia matriz de riesgo, asignando a cada riesgo un valor comprendido entre 1 y 9 de acuerdo a
su probabilidad e impacto:
Figura 5.5 Matriz de Probabilidad e Impacto: Evaluación.
Dónde:
9 - Riesgo extremo: requiere acción inmediata. Prioridad en el tratamiento.
6 - Riesgo importante: requiere medidas de acción con alta prioridad.
3 - Riesgo moderado: requiere medidas de acción para reducir/aumentar los riesgos
negativos/positivos a un nivel tolerable más bajo/alto. Debe especificarse
responsabilidad gerencial.
5. Modelo de ERM para generar valor en la empresa
64
2 - Riesgo tolerable: Probablemente no requiere medidas de acción.
1 - Riesgo insignificante: No requieren mayor consideración. Se deben administrar
mediante procedimientos de rutina.
Para finalizar esta sección se incluye en la tabla de Gestión de riesgos, las columnas referentes al tratamiento del riesgo:
Descripción Análisis del Riesgo Evaluación
Codificación Nombre Probabilidad Impacto Nivel Categoría Calificación
Color Número
Tabla 5.8 Gestión de riesgos: Evaluación del riesgo.
5.6 Tratamiento del riesgo
Después de realizar la identificación, análisis y evaluación de los riesgos, se podrá
determinar qué estrategia es mejor para cada riesgo y establecer acciones específicas para
implementar esa estrategia. En función del tipo de riesgo que sea, si es negativo o positivo, las
estrategias de respuestas serán distintas: [25]
Estrategias de respuesta a los riesgos negativos:
Evitar los riesgos o eliminar una amenaza específica, generalmente se logra al
eliminar sus causas.
Aceptar los riesgos o aceptar las consecuencias si el riesgo ocurriese.
Transferir los riesgos o trasladar la consecuencia de un riesgo y la responsabilidad
por su administración a terceros.
Mitigar los riesgos o reducir el impacto de un evento riesgoso al reducir la
probabilidad de su ocurrencia.
Estrategias de respuestas a los riesgos positivos:
Explotación del riesgo para asegurarnos que el riesgo positivo ocurra.
Compartir el riesgo o asignar la propiedad del riesgo a un tercero.
Mejora del riesgo o cambiar el tamaño de la oportunidad al identificar y maximizar
los inductores claves de un riesgo positivo.
Aceptar el riesgo también se aplica a los riesgos positivos cuando el equipo de
trabajo no puede o escoge no tomar ninguna acción para enfrentar el riesgo.
A partir de la matriz de probabilidad-impacto se puede determinar cuál es el tratamiento
más apropiado a aplicar. En las siguientes figuras se muestran las posibles respuestas en función
de si los riesgos son negativos o positivos, respaldados por un diagrama de flujos para facilitar la
toma de decisión.
5. Modelo de ERM para generar valor en la empresa
65
Riesgos negativos:
Figura 5.6 Respuestas a riesgos negativos en función de su probabilidad e impacto. [25]
Figura 5.7 Diagrama de flujo - Respuestas a los riesgos negativos. [25]
5. Modelo de ERM para generar valor en la empresa
66
Las anteriores figuras se fundamentan en base a las siguientes consideraciones:
1) Si un riesgo tiene una extremada probabilidad de ocurrencia, lo mejor sería
asumirlo como parte del trabajo.
2) Riesgos con elevado impacto (amenazas) llevarían a la empresa a exponerse
demasiado al peligro, por lo que deberían evitarse.
3) Riesgos insignificantes pueden ser aceptados mediante una respuesta pasiva.
4) En vez de evitar o aceptar se pueden tomar otras acciones como por ejemplo
mitigar o incluso, los riesgos de baja probabilidad de ocurrencia se pueden
transferir.
5) Para los riesgos por encima de una cierta probabilidad de ocurrencia, se pueden
aceptar activamente a través de la mitigación y / o preparando planes de
contingencia por si ocurren.
6) Todos los riesgos deberías ser mitigados cuando sea práctico y rentable hacerlo.
Riesgos positivos:
Figura 5.8 Respuestas a riesgos positivos en función de su probabilidad e impacto. [25]
5. Modelo de ERM para generar valor en la empresa
67
Figura 5.9 Diagrama de flujo - Respuesta a los riesgos positivos. [25]
De la misma forma, las anteriores figuras se fundamentan en base a las siguientes
consideraciones:
1) Si un riesgo tiene una extremada probabilidad de ocurrencia, lo mejor sería
asumirlo como parte del trabajo.
2) Riesgos con un elevado impacto (oportunidades) deben ser explotados.
3) Riesgos insignificantes pueden ser aceptados, con una respuesta pasiva o
directamente ignorados.
4) En vez de aceptar o explotar se pueden tomar otras acciones, como mejorar y / o
compartir.
5) Riesgos por encima de una cierta probabilidad puede ser mejor aceptar
activamente preparando planes de acción por si ocurren, es necesario pensar cómo
se va a obtener provecho de un hecho afortunado.
5. Modelo de ERM para generar valor en la empresa
68
6) Todos los riesgos deberían ser aumentados, mejorados.
Una vez definidas la respuesta y el tratamiento que se va a aplicar es necesario analizar si
esa respuesta es eficaz, para ello hay que tener en cuenta: [26]
La respuesta debe ser apropiada: el nivel correcto de respuesta debe definirse en
función de la importancia del riesgo. No se debería perder mucho tiempo o
esfuerzo en desarrollar respuestas agresivas a problemas menores, ni en el otro
extremo, dedicar tiempo insuficiente al considerar como abordar riesgos claves.
La respuesta debe ser razonable: el coste-rendimiento de respuestas al riesgo debe
definirse para que los recursos que se utilizan no sean más del presupuesto
disponible ni del grado de importancia del riesgo.
La respuesta debe ser procesable: una ventana de acción debe definirse, donde se
define el tiempo que se posee para abordar el riesgo. Algunos riesgos requieren
acción inmediata, otros se pueden dejar para más tarde.
La respuesta debe ser alcanzable: las respuestas deben ser alcanzables y viables en
relación a la realidad, capacidad técnica y responsabilidad.
La respuesta debe ser valorada: las respuestas al riesgo deben funcionar, es
necesario valorar la situación suponiendo la implementación eficaz de las
respuestas.
La respuesta debe ser convenida: el consenso y compromiso de los interesados
debe obtenerse antes de que se definan las respuestas.
La respuesta debe ser asignada y aceptada: cada respuesta debe ser la
responsabilidad de una sola persona para asegurar que dicha respuesta es
implementada.
Una buena respuesta deberá tener en cuenta todos estos puntos ya que tendrá más
probabilidad de obtener el efecto deseado que una respuesta que no se ha considerado o
valorado de manera eficaz. [26]
Para finalizar esta sección se incluye en la tabla de Gestión de riesgos, las columnas referentes al tratamiento del riesgo:
Descripción Análisis del Riesgo Evaluación Tratamiento
Codificación Nombre Probabilidad Impacto Nivel Categoría Calificación Estrategia Acción a
tomar
Color Número
Tabla 5.9 Gestión del riesgo: Tratamiento del Riesgo.
5.7 Seguimiento y revisión
El propósito de seguir y revisar todos los riesgos es aumentar el valor de cada actividad de
la organización. Las oportunidades potenciales, como así también las amenazas tienen que ser
5. Modelo de ERM para generar valor en la empresa
69
ordenadas y documentadas. Si todos los empleados son conscientes de la importancia del
proceso de gestión del riesgo, la probabilidad de éxito será mayor, y con el tiempo el fallo se
volverá menos probable.
Con el fin de asegurarse de que el modelos de ERM está funcionando con eficacia, la
gestión necesita un constante seguimiento y revisión de los riesgos a los que se enfrenta, ya que
éstos evolucionan con el tiempo, además los objetivos de la entidad pueden cambiar, la
probabilidad y el impacto de los riesgos pueden empeorar, y la eficacia de los controles puede
reducir.
El monitoreo se puede realizar por medio de dos vías: seguimiento continuo y evaluaciones
separadas.
A través del seguimiento continuo, las personas pueden continuamente evaluar la eficacia
de los componentes del ERM y detectar rápidamente los cambios que puedan afectar a dicha
eficacia. El seguimiento continuo lo realizan generalmente los gerentes, que toman decisiones
basadas en la información que reciben de las actividades diarias centrándose en aquella que
indique un cambio en la eficiencia.
Con el fin de que el seguimiento continuo sea eficaz, se pueden aplicar distintas acciones y
sobre todo infundir actitudes que ayuden a conseguir dicho objetivo, como por ejemplo:
La evaluación de riesgos y su revisión debe ser parte de cada reunión de
seguimiento y de los informes de progreso.
La gerencia y todo el personal deben ser conscientes de que hay riesgos
impredecibles que podrían ocurrir.
Se debe crear un entorno en el que todos los empleados se sientan libres para
expresar sus preocupaciones y admitir los errores, ya que ocultar los riesgos y / o
negar los problemas pueden inhibir el éxito futuro de la organización.
Todas las personas deben ser alentadas a identificar los problemas y los nuevos
riesgos.
Los gerentes deben tener una actitud positiva hacia el riesgo.
Otro factor clave de éxito es la asignación de responsabilidad de todos los riesgos
identificados. Si esa responsabilidad no es asignada, nadie se siente responsable o asume el
mando para hacer frente a ese riesgo, o la responsabilidad se pasa de uno a otro, llevando así a su
incumplimiento. Por lo tanto, es muy importante que la responsabilidad de cada riesgo
identificado sea asignada de común acuerdo entre todos a la persona correcta, es decir,
seleccionar un propietario del riesgo, para que todos sepan quién se ocupa de cada riesgo.
Por otro lado, las evaluaciones separadas sirven para revisar el sistema ERM de forma
periódica, para que así se generen nuevas perspectivas y se evalúe la eficacia de sus
componentes, en función de los cambios en el entorno interno y externo.
Un punto importante es determinar cómo se llevan a cabo estas evaluaciones separadas,
para ello se pueden analizar los siguientes elementos:
Frecuencia: la frecuencia depende del perfil del riesgo y de las prioridades de la
organización. Cuanto más significativo sea el riesgo, mayor es la frecuencia.
5. Modelo de ERM para generar valor en la empresa
70
Alcance: el alcance es generalmente corto. La evaluación del sistema de ERM es
completo sólo si se produce cuando hay cambios importantes, como cambios en la
estrategia, adquisiciones o disposiciones, cambios económicos o políticos, etc.
Quien evalúa: la persona a cargo de una determinada función o unidad puede
evaluar la eficacia de ERM, sin embargo requiere el manejo de una gran cantidad
de información y experiencia para asegurar su exactitud.
Técnicas de evaluación: las técnicas de evaluación pueden variar de un evaluador a
otro, pero ciertos principios básicos deben seguirse, como por ejemplo, el
evaluador debe comprender las operaciones de la organización y cómo funciona
cada uno de los componentes del ERM. Se debe analizar el diseño del proceso de
ERM y los resultados de las pruebas para compararlas con los estándares
establecidos por la dirección.
Metodología: se pueden utilizar listas de verificación, cuestionarios, diagramas de
flujo. Además, la organización puede comparar su sistema de ERM con la de otras
organizaciones que posean una reputación de un sistema de ERM eficiente. Es
importante tener en cuenta que las diferencias siembre van a existir debido a los
distintos objetivos que tiene cada organización, por lo que la gestión no debe
detenerse mucho en estas diferencias triviales.
Documentación: un nivel apropiado de documentación hace que la evaluación sea
más eficaz y eficiente. Pero lo difícil es decir cuál es el nivel adecuado de
documentación, ya que ésta varía en función del tamaño de la organización, la
estructura, etc.
Fuentes de información:
o A partir de las actividades de seguimiento continuo, ya que proporcionan
información importante de las personas implicadas en las actividades.
o Comunicación con las partes externas, cuyos comentarios pueden ayudar a
identificar deficiencias en determinados procesos.
o Informes de fuentes externas, los cuales podrían sugerir mejoras en los
procesos actuales de ERM.
o Evaluaciones anteriores, las cuales podrían proporcionar comparaciones
entre las distintas actividades de ERM.
A quien reportar: los resultados deben ser comunicados a la persona responsable
de la actividad en cuestión, y también al nivel de gestión por encima de esa
persona.
Directrices: protocolos de información deberían estar bien definidos. Usualmente,
las deficiencias en las actividades de ERM deberían ser informadas en un nivel de
detalle creciente, a medida que se mueve hacia abajo dentro de la estructura
organizativa. Algunas directrices se pueden configurar de tal manera que sólo las
deficiencias por encima de un umbral de importancia sean reportadas.
Si se comparan los dos mecanismos para definir cuál es el más apropiado, cabría decir que
5. Modelo de ERM para generar valor en la empresa
71
el seguimiento continuo se lleva a cabo sobre una base de tiempo real y permite a la empresa
reaccionar dinámicamente a los cambios. Además, está arraigado a las operaciones de la
organización y a su cultura. Por tanto, este mecanismo se considera, generalmente, más eficaz
que las evaluaciones separadas. Pero también más costoso de llevar a cabo, además de no ser
suficiente por sí mismo. Por lo tanto, un sistema ERM equilibrado debería aplicar tanto el
seguimiento continuo, como realizar evaluaciones separadas de forma periódica. [23]
Descripción Análisis del Riesgo Evaluación Tratamiento Seguimiento y revisión
Codificación Nombre Probabilidad Impacto Nivel Categoría Calificación Estrategia Acción
a tomar
Propietario del
riesgo
Fechas de
revisión Comentarios
Color Número
Tabla 5.10 Gestión del riesgo: Seguimiento y revisión.
5.8 Sistema de información y comunicación
Un sistema de ERM exitoso en gran medida se debe a la información, ya que ésta se
necesita en todos los niveles y es la base para la toma de decisiones. La comunicación efectiva es
la clave para asegurar que la información apropiada es transmitida a las personas correctas.
La información debe ser capturada y presentada de forma oportuna, con el nivel de detalle
y puntualidad apropiada. Por un lado, el nivel de detalle requerido en los diferentes niveles de
gestión tiende a ser diferente, ya que la alta dirección requiere una profunda pero general
comprensión de los temas más importantes, y los gerentes y los empleados manejan un nivel de
detalle más elevado con el fin de gestionar eficazmente los riesgos. Por otro, la información debe
ser obtenida en el momento adecuado para que la empresa pueda generar respuestas ante los
riesgos de manera oportuna. Por lo que lo más importante es evitar la sobrecarga de información
y proporcionar la cantidad correcta, además de poseer la información de manera fácil y a tiempo
para que sea útil y procesable.
Los sistemas de información suelen estar completamente integrados dentro de la
organización, permitiendo una base de datos en tiempo real, compartido y de fácil acceso. Los
gerentes pueden acceder a los datos históricos para analizar la consecución de los objetivos,
pronosticar su desempeño e identificar las tendencias. La información en tiempo real también
proporciona una mejor imagen del perfil de riesgo y determina si la organización se encuentra
dentro de las tolerancias al riesgo permitidas. Sin embargo, como los sistemas de información
siguen evolucionando, la organización se vuelve susceptible a riesgos desconocidos.
Otro punto importante, es que los sistemas de información proporcionan un modo de
comunicación. Y la comunicación se lleva a cabo constantemente a través de diferentes canales.
Hay que destacar que hay dos tipos de comunicación, por un lado la comunicación interna y por
otro la comunicación externa.
La comunicación dentro de la empresa no sólo debe ser de arriba a abajo o de abajo a
arriba, sino a través de todos los niveles de la organización. La administración tiene la obligación
de proporcionar una comunicación clara y específica definiendo el comportamiento y las
5. Modelo de ERM para generar valor en la empresa
72
responsabilidades de todo el personal. Es importante transmitir la cultura organizativa adecuada y
la filosofía de gestión de riesgos a los empleados, para asegurarse de que todos hablen un
lenguaje común de riesgos, y que entienden el papel que ocupan para llevar a cabo un sistema de
ERM eficaz.
El personal que convive con los riesgos tiene la responsabilidad de comunicar los problemas
a través de sus gerentes para poder aplicar una resolución oportuna. Tendrán que tener canales
adecuados para comunicar estos hechos y la cultura apropiada para animarse a hacerlo. Los
gerentes también deben contribuir a una cultura positiva del riesgo siendo receptivos a la
retroalimentación.
La gerencia debe establecer una comunicación regular con la junta directiva, informándolos
sobre el rendimiento, los riesgos y la eficacia del sistema ERM. Esto permitirá a la Junta directiva
llevar a cabo eficazmente sus funciones de supervisión. Por supuesto, la comunicación también
debe ser con retroalimentación ya que deberían proporcionar información, asesoramiento y
orientación para la gestión.
Por lo que los diferentes niveles de una empresa necesitan diferentes tipos de información
del sistema de ERM:
La Junta directiva debe:
Conocer los riesgos más importantes a los que se enfrenta la empresa.
Conocer los posibles efectos de las desviaciones en el valor de la empresa para los
accionistas con respecto a los márgenes de rendimiento previstos.
Asegurar niveles apropiados de toma de conciencia en toda la empresa.
Saber cómo la empresa gestionará una crisis.
Ser consciente de la importancia de la confianza de los interesados en la empresa.
Tener claro cómo gestionar las comunicaciones con los inversores cuando sea
pertinente.
Estar seguro de que el proceso de gestión de riesgos funciona de forma efectiva.
Divulgar una clara política de gestión de riesgos que abarque las responsabilidades y
la filosofía de gestión de riesgos.
Las unidades de negocios deben:
Ser conscientes de los riesgos que comprenden sus áreas de responsabilidad, los
impactos posibles que estos pueden ejercer en otras áreas y las consecuencias que
otras áreas pueden provocar en ellas.
Disponer de indicadores de rendimiento que les permitan supervisar las actividades
de negocio y financieras clave, el progreso hacia la consecución de los objetivos e
identificar los desarrollos que requieran intervenciones (ej. previsiones y
presupuestos).
Disponer de sistemas que adviertan de las variaciones en las previsiones y en los
presupuestos con la debida frecuencia para que sea posible tomar las medidas
apropiadas.
5. Modelo de ERM para generar valor en la empresa
73
Informar rápida y sistemáticamente a la alta dirección de cualquier nuevo riesgo o
cualquier fallo en las medidas de control existentes que perciban.
Los individuos deben:
Comprender su responsabilidad respecto a riesgos individuales.
Ser conscientes de cómo pueden mejorar continuamente la respuesta de la gestión
de riesgos.
Entender que la gestión y la conciencia de riesgos son una parte fundamental de la
cultura de la empresa.
Informar rápida y sistemáticamente a la alta dirección de cualquier nuevo riesgo o
cualquier fallo en las medidas de control existentes que perciban.
Y por otro lado, la comunicación externa, donde también se necesita de una comunicación
adecuada entre la organización y sus grupos de interés externos, incluidos los clientes,
proveedores, reguladores, accionistas, etc. Canales de comunicación abiertos permite obtener
información útil, manteniéndose así al tanto de los cambios en el entorno externo.
La comunicación abierta en relación al apetito y la tolerancia al riesgo es también una
ventaja, ya que ayuda a conocer cómo están alineados con las partes externas, ayudando a
decidir la cantidad de riesgo a tomar.
Por otro lado, también es necesario que las empresas informen regularmente a los grupos
de interés sus políticas de gestión de riesgos y la efectividad con la que consiguen los objetivos, ya
que cada vez más, los interesados esperan que las empresas muestren una gestión eficaz en
asuntos comunitarios, de derechos humanos, prácticas laborales, salud, seguridad y
medioambiente. [15][23]
6. Herramientas de soporte de ERM
74
Capítulo:
6. Herramientas de soporte ERM
6. Herramientas de soporte de ERM
75
6.1 Introducción
Para conseguir una mayor efectividad del modelo de gestión de riesgo es necesario contar
con un software y herramientas informáticas que actúen como soporte y base del modelo. Una
vez que la empresa ha establecido una política de gestión de riesgos, ha definido un programa y
se ha asegurado que existe una coherencia a lo largo de toda la organización, está en condiciones
de elegir la herramienta que gestionará todos los riesgos empresariales. En este capítulo se
describen tres herramientas, de las muchas que existen en el mercado, con el objetivo de mostrar
ejemplos de aplicación, no se pretende definir cuál es la mejor ni la más apropiada, ya que cada
empresa debería seleccionar cuidadosamente qué herramienta satisface mejor sus necesidades
de gestión de riesgos.
6.2 Herramientas de Gestión de Riesgos
6.2.1 SAP BusinessObjects Governance, Risk and Compliance
La herramienta SAP BusinessObjects Governance, Risk, and Compliance (GRC), desarrollada
por la empresa alemana SAP, ayuda a las organizaciones a maximizar su rendimiento estratégico y
operativo, lo que les permite evaluar y gestionar los riesgos empresariales, implementar de
manera eficaz controles económicos y operativos integrados en los procesos empresariales, y
crear un entorno transparente y comunicable para los grupos de interés. El objetivo de las
soluciones SAP es actuar como un arma empresarial estratégica para aumentar la eficacia, reducir
los costes de cumplimiento regulatorio y mejorar la previsibilidad y el rendimiento. [27]
Como proveedor de software empresarial, SAP proporciona productos y servicios que
ayudan a acelerar la innovación empresarial de sus clientes. Actualmente, más de 82.000 clientes
de más de 120 países ejecutan aplicaciones SAP desde distintas soluciones que cubren las
necesidades de las pequeñas y medianas empresas hasta ofertas de paquetes para organizaciones
globales.
Las soluciones SAP BusinessObjects GRC incluyen las siguientes aplicaciones:
• SAP BusinessObjects Risk Management, la cual equilibra las oportunidades
empresariales y la exposición financiera, legal y operativa con el objetivo de
minimizar las penalizaciones del mercado como consecuencia de los eventos de
alto impacto.
El software de Gestión de Riesgos de SAP ayuda a las organizaciones a identificar,
analizar, responder y controlar el riesgo empresarial, así como a coordinar sus
procesos de gestión de riesgos con la estrategia corporativa, y mantener el
rendimiento y el crecimiento rentable.
• SAP BusinessObjects Access Control, es una aplicación que identifica y mitiga los
riesgos de acceso y autorización en los sistemas de TI interempresariales con el
objetivo de evitar fraudes y reducir el coste del cumplimiento y el control continuo.
• SAP BusinessObjects Process Control optimiza las operaciones empresariales y
ayuda a garantizar el cumplimiento regulatorio y a evitar los riesgos mediante la
supervisión central de los controles clave de los procesos empresariales y los
sistemas de TI interempresariales.
6. Herramientas de soporte de ERM
76
• SAP BusinessObjects Global Trade Services integra políticas regulatorias y
corporativas en los procesos de comercio con el objetivo de automatizar el
cumplimiento regulatorio y recortar los costes.
• SAP Environment, Health, and Safety Management ayuda a coordinar los procesos
empresariales con los requisitos de seguridad ocupacionales, las regulaciones de
seguridad de los productos y las políticas medioambientales para ayudar a
garantizar el cumplimiento proactivo.
Figura 6.1 Soluciones SAP BusinessObjects Governance, Risk and Compliance. Esquema general. [27]
Con la funcionalidad para la gestión del riesgo empresarial de las soluciones de SAP,
cualquier entidad puede anticiparse y responder rápidamente a las condiciones empresariales en
constante cambio, así como controlar toda su cartera de riesgos empresariales. Ofrece una
funcionalidad completa que admite lo siguiente:
• Alertar de manera automática al departamento de gestión cuando los riesgos de
gran impacto o de alta probabilidad excedan los umbrales definidos por la empresa.
• Analizar el riesgo empresarial en términos de gravedad y probabilidad de impacto.
• Supervisar las actividades de gestión de riesgos y las respuestas de mitigación
mediante cuadros de mando personalizados.
• Sincronizar la información detallada de los cuadros de mando personalizados para
crear vistas de alto nivel, análisis de tendencia de riesgos e informes y cuadros de
mando de nivel ejecutivo.
• Sacar partido de las funciones para la colaboración, asignación de recursos,
visualización, gestión de excepciones y contabilidad, lo que le permitirá alinear la
gestión del riesgo empresarial con los procesos de gestión de la estrategia
corporativa.
A continuación se proponen algunas formas para mejorar el rendimiento de las empresas
con las soluciones SAP BusinessObjects GRC.
6. Herramientas de soporte de ERM
77
• Aumentar la visibilidad mediante:
o El uso de un marco unificado que coordina los procesos empresariales, el
cumplimiento regulatorio y las metodologías de gestión de riesgos.
o La mejora de la transparencia con cuadros de mando globales basados en
umbrales que agregan la exposición financiera a los riesgos de control de nivel.
o La optimización de la asignación de capital basándose en información sobre la
posición de riesgo de la empresa.
o El uso de análisis y evaluaciones de bucle cerrado para ofrecer soporte a las
evaluaciones preventivas de riesgos y cumplimiento regulatorio.
o La identificación y la explotación de las oportunidades en los acuerdos de
preferencias de comercio internacional.
• Reducir los costes de cumplimiento regulatorio mediante:
o La gestión estandarizada y automatizada de los riesgos y el cumplimiento
regulatorio en un entorno de control unificado, para todos los procesos de la
empresa tanto internos como externos.
o El uso de una biblioteca de riesgos completa y predefinida de separación de
funciones para SAP, Oracle, PeopleSoft, JD Edwards y otros sistemas y clientes
existentes con el objetivo de minimizar la implementación y los costes de
mantenimiento en los entornos de múltiples distribuidores.
o La racionalización y la reutilización de controles corporativos y respuestas a los
riesgos para reducir el esfuerzo y aumentar la productividad.
o La institución de una gestión por excepciones con cuadros de mando e
indicadores de rendimiento claves, alertas basadas en umbrales y
procedimientos de escalado automatizados.
o El análisis proactivo de la exposición a los riesgos y las tendencias para
optimizar la cartera riesgos/retorno.
• Prever y evitar los riesgos mediante:
o La identificación y la resolución de los posibles puntos de fallo con una
supervisión continua de las actividades de control de la empresa.
o La aplicación proactiva de las reglas de confidencialidad de datos en toda la
red de trabajo de la empresa a través de la coordinación de las necesidades
empresariales y los procesos de TI.
o La implementación de controles eficaces y análisis de riesgo obligatorios para
los procesos críticos con el objetivo de fomentar el comportamiento deseado y
mejorar los resultados de los procesos empresariales.
o La garantía de cumplimiento de las regulaciones globales de importación y
exportación.
6. Herramientas de soporte de ERM
78
o La prevención de la erosión de la marca y los costes por incumplimiento
derivados de catástrofes medioambientales de salud y de seguridad mediante
un seguimiento de los umbrales regulatorios y empresariales.
A continuación se muestra algunas pantallas correspondientes a dicha herramienta:
Figura 6.2 Pantalla principal de SAP BusinessObjects. [27]
Figura 6.3 Pantalla principal de SAP BusinessObjects Risk Management. Matriz de riesgos. [27]
6. Herramientas de soporte de ERM
79
6.2.2 Active Risk Manager
Active Risk Manager es un sistema integrado de gestión de riesgos, desarrollado por
Strategic Thought Group, que tiene como objetivo impulsar la reducción de costes, aumentar la
transparencia y maximizar las oportunidades de una empresa. Active Risk Manager promueve la
gestión activa del riesgo y las oportunidades convirtiéndose en un proceso clave para la empresa,
un proceso que genera un valor añadido a los proyectos, a los programas y al negocio. Permite:
• Mejor planificación y toma de decisiones.
• Aprovechamiento eficaz de las oportunidades.
• Posibilidad de nuevos negocios y proyectos rentables.
• Primas de seguro.
• Calificación crediticia mejorada.
ARM crea una mayor integración de la gestión de riesgos en todas las operaciones y
proyectos, lo que genera un mayor control, además de ser más robusto y auditable. El uso de un
sistema único permite una visión integral que apoya tanto a las necesidades operativas de la
empresa como las crecientes necesidades de la junta directiva, para mejorar la gestión del riesgo
y la gestión del rendimiento. Cada industria se enfrenta a retos únicos, por lo que esta
herramienta permite reforzar los puntos débiles o mejorar las áreas de mayor valor añadido.
ARM utiliza una gama de productos estándar de la industria, como por ejemplo, Microsoft
SQL Server y bases de datos Oracle, Servicios Microsoft de Información y SharePoint. ARM se
integra con Microsoft Excel y una amplia gama de software de planificación de proyectos como
Microsoft Project, Primavera, Telelogic DOORS y Cradle.
Además esta herramienta soporta una amplia gama de estándares de riesgo, como COSO,
ISO 31000, PMBOK, HIPAA, FDA, CMI, COBIT, SOX, HSE, The Orange Book, EFQM, Basilea II y
Turnbull.
ARM ofrece beneficios demostrables en una amplia gama de industrias, algunos de los
clientes de ARM son: Network Rail, Lockheed Martin, Nestlé, la NASA, el metro de Londres, Fuerza
Aérea de EE.UU., Raytheon, Rio Tinto, EADS, Juegos Olímpicos de Londres, Alstom, Roche, British
Nuclear Group y SABIC. [28]
6. Herramientas de soporte de ERM
80
Figura 6.4 Active Risk Manager aporta un valor añadido en todas las áreas de negocio. [28]
6.2.3. SoftExpert ERM Suite
SoftExpert ERM Suite - Gestión Riesgos Corporativos es una herramienta desarrollada por la
empresa SoftExpert, que permite a las organizaciones identificar, analizar, evaluar, monitorizar y
administrar sus riesgos corporativos de manera integrada. A través de un mismo abordaje son
tratados todos los datos relacionados al riesgo, posee una biblioteca de riesgos, realiza controles y
evaluaciones, identifica eventos de pérdida y no conformidades, establece indicadores de riesgo,
determina acciones y planes de tratamiento, etc. todo ello en una solución única y alcanzable.
[29]
Principales funcionalidades:
• Context Definition: define las características del contexto (actividad, proceso,
función, proyecto, producto o activo) en términos de responsabilidades y equipo de
trabajo tal como metas y objetivos.
• Process Management: provee una plataforma integrada para la descripción y
modelado de procesos colaborativos que pueden ser utilizados en el análisis de
riesgos.
• Asset/PDM Management: gerencia detallada de los activos/productos utilizados en
la gestión del riesgo, a partir de inventarios, mantenimiento, propiedad, localización,
reservas, uso, tiempo de inactividad, verificación, estado de entrada/salida, entre
muchas otras.
6. Herramientas de soporte de ERM
81
• Risk Identification: facilita la identificación de los riesgos utilizando listas de chequeo
y de un archivo unificado de riesgos.
• Risk Analysis: herramienta de análisis que permite la aplicación de métodos
cuantitativos y cualitativos, o la combinación de ellos. Visualización gráfica de los
riesgos significantes.
• Control Definition: establece e implementa políticas y procedimientos garantizando
la efectividad de las respuestas a los riesgos.
• Control Self-Assessment: mantiene la efectividad de los controles internos a través
de la aplicación periódica de pruebas y cuestionarios.
• Treatment Plan: completamente integrada a la herramienta Project and Portfolio
Management Suite para seleccionar, implementar y monitorizar planes de respuesta
a los riesgos sin necesidad de herramientas adicionales o personalizaciones.
• Risk Monitoring: actividades de gestión, automáticas o manuales, utilizando listas de
resumen, matrices de riesgo, indicadores de acompañamiento y otras.
• Event Management: completa automatización del tratamiento de los eventos, de no
conformidades y acciones correctivas/preventivas utilizando métodos consagrados:
PDCA para solución de problemas, y 5W2H en la planificación de acciones.
• Business Intelligence: dispone de una línea de negocio de información y ayuda a los
usuarios a identificar las áreas con problemas. La herramienta de BI provee recursos
de "drill down" y "slice and dice" sobre los datos para visualización de varias
perspectivas basadas en la tecnología OLAP.
Además, los conceptos y funcionalidades generados por SoftExpert relacionados al ERM
cumplen con los requisitos establecidos por los estándares y reglamentaciones internacionales,
tales como la nueva ISO 31000, ISO 27001, Sarbanes-Oxley (SOX), AS/NZS:4360, SEC, NIST, PCAOB,
Basilea II, COSO, COBIT, entre otros.
Por último cabe decir que esta herramienta promueve los siguientes beneficios:
• Establece un proceso transparente y uniforme en todos los niveles de la
organización para administrar riesgos, oportunidades y objetivos.
• Centra la atención en los riesgos que realmente importan adoptando un lenguaje
único para riesgos diferentes.
• Protege y aumenta el capital del accionista;
• Aplica gestión de riesgos a procesos, proyectos, activos y productos, cubriendo
diferentes alcances.
• Perfecciona la tomada de decisiones, la planificación y la priorización por el
entendimiento abarcador y estructurado de los procesos de negocio, de las
incertidumbres, oportunidades y amenazas.
• Mejora el gobierno corporativo;
• Perfecciona la eficiencia y la efectividad operacional;
6. Herramientas de soporte de ERM
82
• Minimiza las pérdidas y maximiza las ganancias.
• Promueve adherencia a las normas internas y reglamentaciones de conformidad.
• Garantiza la estandarización en el proceso de evaluación de riesgo a través de la
definición de criterio y apetito de riesgo consistentes.
• Facilita la ejecución de las actividades de mitigación.
• Ofrece diferentes alternativas para realizar el análisis de los riesgos (cuantitativa,
cualitativa, matriz de riesgos).
Algunas pantallas de esta herramienta son las que a continuación se muestran.
Figura 6.5 SoftExpert ERM Suite - Establecer el contenido y definir responsabilidades. [30]
Figura 6.6 SoftExpert ERM Suite - Selección de las variables de los riesgos. [30]
6. Herramientas de soporte de ERM
83
Figura 6.7 SoftExpert ERM Suite - Identificar las opciones de tratamiento. [30]
Figura 6.8 SoftExpert ERM Suite - Revisiones periódicas. [30]
7. Benchmarking de ERM
84
Capítulo:
7. Benchmarking de ERM
7. Benchmarking de ERM
85
7.1 Introducción
En esta sección se presentan distintas encuestas evaluativas realizadas por el Instituto de
Auditores Internos “IIA’s” y la Federación Europea de Asociaciones de Gestión de Riesgos
“FERMA” con el fin de obtener información de cómo las empresas manejan y aplican su gestión
de riesgos, obteniendo las mejores prácticas y recomendaciones para ayudar al resto de empresas
que buscan establecer un programa de gestión o que quieren mejorar la eficacia de su actual
ERM.
7.2 Benchmarking de ERM realizado por el Instituto de Auditores Internos
En este punto se presenta la encuesta evaluativa realizada en 2008 por el Instituto de
Auditores Internos “IIA’s” y la Fundación de Investigación del IIA a múltiples empresas de diversos
sectores. Los resultados y conclusiones del estudio se resumen en los siguientes párrafos. [31]
La gestión del riesgo puede ayudar a mejorar las operaciones empresariales y reducir al
mínimo las áreas que podrían dar lugar a pérdidas o incluso reducir el uso ineficiente de los
recursos de la empresa. De 240 organizaciones encuestadas el 68,7% han puesto en práctica un
programa de gestión del riesgo formal (40,4%) o informal (28,3%), pero, a pesar de ello el 20,4%
de las organizaciones no tienen un proceso de gestión de riesgos ni planes para aplicarlos en un
futuro, de hecho el 13,8 % indicó que el departamento de auditoría interna ha sugerido a la
gerencia el establecimiento de un proceso, pero la gestión de riesgos aún no existe. También hay
organizaciones que les gustaría aplicar un programa de ERM, pero no pueden hacerlo debido a la
falta de apoyo o a la baja prioridad del programa si se compara con otras iniciativas.
Figura 7.1 Benchmarking IIA - Aplicación de la Gestión de Riesgos en las organizaciones [31]
Los elementos más importantes de esta estructura de gestión de riesgos identificados por
los encuestados se puede decir que son, la presencia de un programa o proceso, personal de
apoyo para el programa, mantenimiento de un nivel de madurez, y la integración de los esfuerzos
de la gestión de riesgos dentro de la organización. Y los elementos más importantes de la filosofía
de gestión de riesgos identificados son:
7. Benchmarking de ERM
86
Identificar, documentar y evaluar los riesgos.
La creación de políticas y procedimientos, un marco de gestión de riesgos y un plan
que se base en evaluaciones continuas de riesgo.
Asignación de recursos y responsabilidades a todos los niveles de la organización,
así como la definición de los riesgos corporativos y procesos claves.
Creación de un marco de ERM.
Gestión y mitigación de los riesgos identificados.
Creación de un grupo o comité de cumplimiento en el nivel de la junta para revisar y
gestionar los riesgos identificados.
Proporcionar informes a la alta dirección sobre cómo la organización está
gestionando los riesgos.
Establecer una mentalidad adecuada en la parte superior de la pirámide de mandos
para promover un enfoque de arriba hacia abajo con respecto a la gestión del
riesgo.
Otro punto importante es prever el hecho de que aplicar una iniciativa efectiva de gestión
de riesgos no es una tarea fácil, es más, el 73,2% de los encuestados indicó que a su organización
le llevo dos o más años aplicar un programa de gestión. Sólo el 26,8% de las organizaciones
fueron capaces de hacerlo en un año o menos. En la figura siguiente se encuentra un resumen
más detallado de las respuestas.
Figura 7.2 Benchmarking IIA - Tiempo de implantación del Programa de Gestión de Riesgos. [31]
La presencia de barreras ocasiona que se prologue la aplicación del programa de ERM. De
hecho, el 60,1% de los encuestados manifestaron que su organización encontró obstáculos para
su aplicación, frente al 33,7% que indicaron lo contrario. Para entender la naturaleza de estas
barreras, se les pidió que enumeraran una lista de nueve obstáculos. Los tres principales
obstáculos para la aplicación del programa fueron: la cultura de la organización, definición poco
clara de los beneficios del programa, y la falta de tiempo o recursos para la aplicación. En la
siguiente tabla se resumen todas las respuestas.
7. Benchmarking de ERM
87
Barreras Posición
Cultura de la Organización 1
Beneficios no claros 2
Falta de tiempo y recursos 3
Poco sentido de urgencia 4
Falta de una clara propiedad de gestión de riesgos 5
Falta o confuso programa o filosofía de gestión 6
Problemas de propiedad entre las funciones de negocio 7
Falta de herramientas de implantación 8
Prioridad de normas regulatorias 9
Tabla 7.1 Benchmarking IIA – Principales barreras para la aplicación de ERM. [31]
Además se preguntó si el programa de gestión de riesgos había perdido impulso desde su
creación. La mayoría de los encuestados, el 69,6%, dijo que “no”, del 30,4% que indicó lo
contrario, las razones que expusieron fueron la falta de apoyo a la gestión, la pérdida del impacto
inicial debido a la presencia de procesos rutinarios, la falta de tiempo o recursos financieros para
apoyar el programa, y la falta de conocimientos de gestión de riesgos del personal.
A los encuestados también se les pidió que identificaran quién es el ente o la persona que
lleva el mando del programa de ERM, y en la mayoría de las organizaciones (32,7%) es el
responsable de la dirección de riesgos. El departamento de auditoría interna fue el segundo más
alto identificado en la lista (15,2%), seguido por director financiero (13,9%); luego el director
general (10,3%), y finalmente el departamento legal, director ejecutivo, o áreas operativas (5%
cada uno). En cuanto a la cantidad de personal trabajando en la gestión de riesgos, la mayoría de
los encuestados (64,4%) indicaron que dicho programa es apoyado por uno o tres miembros del
personal, y sólo el 13,7% indicó que contaba con el apoyo de once o más miembros del personal.
Si se analizan los ingresos anuales de las empresas y la gestión de riesgos aplicada por las mismas,
se puede determinar que cuanto mayor es el tamaño de la organización más probabilidades hay
de tener un director o un departamento de gestión de riesgos, y por tanto disponer de once o
más empleados.
Por otro lado se analizó el nivel de satisfacción de las organizaciones con el modelo de ERM
aplicado y con los esfuerzos generales de la gestión de riesgos, donde el resultado obtenido indicó
que, de forma general, las organizaciones se encuentran satisfechas con la gestión de riesgos.
Figura 7.3 Benchmarking IIA - Nivel de satisfacción con la efectividad del programa de gestión de riesgos.
[31]
7. Benchmarking de ERM
88
Figura 7.4 Benchmarking IIA - Nivel de satisfacción con los esfuerzos generales de la gestión de riesgos.
[31]
La tecnología juega un papel muy importante en muchas organizaciones ya que ayuda a
maximizar sus iniciativas claves y aumenta la eficiencia de los controles internos. Sin embargo, el
67,9% de las empresas representadas en la encuesta no la utilizan, sólo el 18,2% disponen de
herramientas tecnológicas para controlar todos los niveles de riesgo y el 11,2% la utilizan para
controlar aquellos riesgos que poseen un nivel de importancia elevado.
En cuanto a las herramientas específicas que apoyan las actividades de gestión de riesgos,
las organizaciones están divididas en el uso de herramientas internas (21,9%) y el uso de
herramientas externas o aplicaciones de terceros (20,9%). Entre las aplicaciones de terceros más
utilizadas para apoyar a la gestión de riesgos encontramos Microsoft Excel, Methodware, ACL,
Active Risk Manager, Bwise, RegisterMon y el software de SunGard Entegrate.
Además se analizó la efectividad, la eficiencia y el nivel de satisfacción de éstas
herramientas y aplicaciones de gestión de riesgos y el resultado obtenido fue que la mayoría de
las organizaciones no se encuentran satisfechas con las mismas.
1 Muy baja
2 3 4 5 6 Muy alta
Eficacia de las herramientas o aplicaciones de Gestión de Riesgos
12,1% 24,2% 24,8% 22,1% 14,1% 2,7%
Eficiencia de las herramientas o aplicaciones de Gestión de Riesgos
15,3% 28,0% 22,7% 23,3% 6,0% 4,7%
Nivel de satisfacción con las herramientas o aplicaciones de Gestión de Riesgos
14,0% 27,3% 24,7% 20,0% 10,7% 3,3%
Figura 7.5 Benchmarking IIA - Efectividad, eficiencia y satisfacción con las herramientas de Gestión de
Riesgos. [31]
Por último a los participantes de la encuesta se les pidió que compartieran sus mejores
prácticas. Aunque estas recomendaciones no son las únicas, son un buen punto de partida para
aumentar la eficacia y eficiencia de las actividades de gestión de riesgos.
Aplicación del programa de Gestión de Riesgos:
Muchas de las organizaciones se han encontrado con múltiples desafíos a la hora de
aplicar un programa de gestión de riesgos. El obstáculo número uno identificado es
la falta de apoyo por parte de los líderes de negocio o del equipo de gestión,
además la gestión de riesgos se ve simplemente como otro procedimiento que hay
que cumplir y que añade poco o ningún valor a la organización. Otro de los
7. Benchmarking de ERM
89
obstáculos es la falta de recursos para aplicar los procesos de gestión de manera
eficaz y la falta de integración dentro de la planificación general de la empresa.
Para contrarrestar estos obstáculos, la primera recomendación dada es, antes de
establecer la gestión de riesgos, designar a las personas que administrarán o serán
los principales responsables del proceso y que éstos obtengan el apoyo de la alta
dirección. Además, la administración debe actuar como principal líder del proceso,
identificando las zonas de mayor riesgo de la organización. El intercambio de
información es también un factor importante para el éxito y eficacia del programa.
Para ello, es importante compartir los resultados de las actividades y las mejores
prácticas en todos los niveles de la organización. Debido a sus conocimientos, los
auditores internos deben participar en el control de la gestión tan pronto como sea
posible, asegurándose de que las actividades de gestión se incorporan en la
empresa. Para poder hacer frente a cualquier problema de independencia u
objetividad, los auditores deben limitar su función a facilitar y evaluar la gestión de
riesgos colaborando con el resto de áreas.
Otras recomendaciones que pueden ayudar a las organizaciones a agilizar su
programa de gestión de riesgos son:
o Desarrollo de un proceso de gestión de riesgos que se ajuste a las
necesidades de la organización. Es frecuente, que una iniciativa de gestión de
riesgos que intenta implantarse se centre en los riesgos equivocados o que
intente abarcar demasiados. Por lo tanto, los esfuerzos de gestión de riesgos
deben centrarse en las áreas de mayor riesgo teniendo en cuenta el apetito
de riesgo, el nivel de tolerancia y los recursos de la organización.
o Entrevistar al personal clave y demás interesados para obtener información
sobre cómo la organización es percibida y sobre los riesgos existentes, de los
rangos de riesgos y los indicadores para medir la eficacia de la gestión.
o Conseguir el apoyo y la participación de todo el personal, definiendo sus
responsabilidades dentro de la gestión de riesgos, y documentando y
midiendo sus esfuerzos y rendimientos.
o Definir y usar el mismo lenguaje de gestión de riesgos en toda la
organización. En las organizaciones que poseen una gestión de riesgos
fragmentada por secciones es muy difícil implementar los distintos
indicadores y sus respectivas tolerancias. Por lo que usar la misma
terminología permite que todo el personal vea la gestión de riesgos de la
misma forma y enfoque los esfuerzos en las áreas correctas.
Informes y comunicación de la Gestión de Riesgos:
Una vez que el programa de gestión de riesgos se lleva a cabo, los informes
obtenidos sobre la gestión son esenciales para el éxito del programa. La
comunicación de los objetivos permite al personal y a todas las partes interesadas
hacer de la gestión de riesgos una prioridad presente en el día a día, así como
ayuda a promover una cultura organizacional que valora la gestión de riesgos y sus
beneficios. Una vez más, el principal obstáculo en este ámbito es la falta de interés
7. Benchmarking de ERM
90
por parte de la alta dirección y sin la aceptación y el apoyo de éstos, ni siquiera el
mejor programa de gestión de riesgos podría enfrentarse a una rápida extinción.
Esto se debe a que el apoyo de los principales directivos ayuda a crear la base
necesaria que a continuación impregnará a todos los niveles de la empresa,
promoviendo una cultura que considera la gestión de riesgos como un proceso de
negocio clave.
Otros obstáculos que se pueden encontrar son:
o Falta de recursos, tales como herramientas, para crear informes efectivos o
proporcionar reportes oportunos que capturan la información en el
momento adecuado.
o Presencia de procesos de gestión inmaduros o informales que hacen que la
presentación de informes y documentación sea una tarea difícil.
o Un mecanismo de reporte de gestión fragmentado, el cual es incapaz de
capturar los datos de las funciones y actividades de toda la empresa, e
inconsistentes normas y estándares de gestión de riesgos.
Para optimizar las actividades de información de gestión de riesgos, los auditores
internos deben garantizar que el proceso de gestión satisface verdaderamente las
necesidades de la organización. Si esto sucede, entonces facilita la presentación y
comunicación de la información. Además, las actividades de gestión de riesgos
deben estar integradas en otros informes de la organización, tales como los
informes de auditoría interna. Lo que ayudará a mantener los esfuerzos de gestión
de riesgos como una prioridad, así como demostrar que la gestión de riesgos no es
sólo una actividad de cumplimiento, sino que es un proceso de negocio esencial.
Seguimiento de la Gestión de Riesgos:
Al igual que la aplicación y la información son aspectos esenciales para un exitoso
programa de gestión de riesgos, también lo es un seguimiento eficaz de las
actividades. Un obstáculo clave identificado en la encuesta fue la implementación
de un proceso informal de gestión de riesgos, ya que puede dar lugar al
establecimiento de un nivel incorrecto e inadecuado de vigilancia.
Otros obstáculos identificados son:
o Falta de apoyo.
o Uso de sistemas de control ineficaces.
o Falta de integración del seguimiento de la gestión con los procesos de
supervisión.
o Tareas de monitoreo irregulares o poco frecuentes.
o Problemas al actualizar y validar manualmente los datos.
o Concentrar los esfuerzos de monitoreo en las áreas de riesgos equivocadas.
Para evitar estos obstáculos o conseguir minimizarlos, el responsable de la gestión
de riesgos debería formar un comité que fuera activamente participe del proceso
7. Benchmarking de ERM
91
de gestión de riesgos. Además, debería garantizar la participación y el apoyo de la
alta dirección, para ello sería necesario identificar y comunicarles cómo las
actividades de seguimiento pueden convertirse en ahorros para la empresa y
agregar valor a la misma. Una vez más, esto ayudará a garantizar que las
actividades de seguimiento no son vistas como una molestia y estarán integradas
dentro del día a día de la organización, formando parte de los planes de negocio.
Herramientas o aplicaciones de Gestión de Riesgos:
Contar con una herramienta adecuada puede ayudar a acelerar y optimizar el
control y presentación de la información de gestión de riesgos, ya sea, si la
herramienta es propia de la organización o adquirida de un tercero, es necesario
asegurar que funciona más allá de un nivel básico. Además, el sistema de
clasificación de riesgos debe realizarse de manera precisa en función del nivel de
tolerancia y apetito de riesgo deseado.
Tener un proceso de gestión informal o incompatible puede dificultar la elección de
la herramienta más apropiada para la organización. Por lo tanto, lo primero es
asegurarse de que se posee un programa de gestión de riesgos eficaz, con el apoyo
adecuado y que se aplica en toda la organización de manera coherente, antes de
poder seleccionar una herramienta que permita optimizar el monitoreo de la
gestión, la documentación y la presentación de informes.
Una vez que la herramienta es seleccionada, los obstáculos que pueden minimizar
su eficacia pueden ser, por ejemplo, no utilizarlas de manera eficiente y no contar
con el personal debidamente capacitado, entre otros. Para asegurar que estos
obstáculos no se presenten es necesario:
o Seleccionar una herramienta o proceso automático que satisfaga las
necesidades de gestión de riesgos. Aunque esta recomendación es de sentido
común, muchas veces, una herramienta se selecciona por su disponibilidad y
aceptación general sin considerar si realmente refleja con precisión los datos
o informes de la gestión.
o Asegurarse que el personal adquiera el conocimiento necesario para utilizar
la herramienta.
o Utilizar una herramienta y lenguaje de gestión de riesgos común en toda la
organización.
o Aumentar el nivel de participación de personal en el proceso de gestión de
riesgos.
o Asegurar que la herramienta cumple con las exigencias normativas.
o Crear un plan de acción que describa como la herramienta se utilizará para
facilitar su aplicación.
Interdependencia y correlación de la Gestión de Riesgos:
7. Benchmarking de ERM
92
Por último, a los encuestados se les pidió información acerca de cómo es la relación
entre los impactos producidos en un área con el resto de las áreas de la
organización. Los obstáculos identificados fueron:
o Falta de información oportuna y precisa de los riesgos.
o Concentrar la vigilancia en demasiadas zonas de riesgo sin una identificación
correcta de sus niveles de importancia, o monitorear zonas incorrectas.
o Falta de apoyo por parte de la dirección.
o Duplicación de datos debido a la aplicación de un enfoque de gestión de
riesgos fragmentado.
Las mejores prácticas para evitar la interdependencia y la correlación son:
o Integración de los procesos de gestión de riesgos en el resto de áreas de
negocio.
o Garantizar la participación de la alta dirección.
o Utilizar un proceso de minimización del riesgo formalizado y estandarizado.
o Garantizar que el programa de gestión de riesgos apoya a la planificación a lo
largo de toda la organización.
o Garantizar que el proceso de gestión de riesgos es transparente. Esto
ayudara a aumentar la sensibilización del personal y asegurar que el
programa no pierde el impulso una vez aplicado.
Para finalizar, a continuación se exponen las conclusiones obtenidas del estudio. La gestión
del riesgo es más que un esfuerzo de cumplimiento: es una actividad habitual que tiene como
objetivo ayudar a la organización a mejorar sus operaciones de negocio, minimizando las zonas
que podrían dar lugar a problemas y minimizando el uso ineficiente de los recursos de la empresa.
Sin embargo, el obstáculo principal a la hora de establecer un programa eficaz de gestión de
riesgos es la falta de apoyo por parte de la alta gerencia, de la junta directiva y del personal.
Como resultado, los auditores internos tienen la necesidad de garantizar la aceptación
general y el apoyo de la alta dirección antes de la implementación del programa. Para lograr esto,
la alta gerencia tiene que entender el valor añadido del programa, así como sus beneficios y
tiempo previsto para su ejecución. La administración también tiene que entender cómo la gestión
impacta en cada área de negocio y cuáles son las funciones y responsabilidades de todo el
personal. Esto asegurará que la base de la gestión nace en la parte superior, y que a su vez, crea
una cultura empresarial en la gestión del riesgo que es valorada y entendida por todos los niveles
y sus grupos de interés.
Además, es necesario que los auditores internos se conviertan en un participante activo en
el proceso, ayudando a garantizar que el programa tiene el nivel adecuado de apoyo por parte de
todos los niveles de la organización, especialmente la alta dirección.
Por último, el programa de gestión de riesgos tiene que ser adaptado para satisfacer las
necesidades de la organización y centrarse en las zonas de mayor importancia. Para garantizar
este punto, los auditores necesitan recomendar el uso de evaluaciones de riesgos y los criterios
7. Benchmarking de ERM
93
de calificación que permitan identificarlos y clasificarlos en base al nivel de tolerancia y apetito
que la organización posea.
7.3 Benchmarking de ERM realizado por la Federación Europea de Asociaciones de
Gestión de Riesgos
En esta sección se analizan varios estudios realizados por FERMA en 2006, 2008 y 2010,
presentando un resumen con los puntos más relevantes y mostrando cómo ha evolucionado la
gestión de riesgos en estos años. [32][33][34][35]
FERMA al realizar estos análisis tiene como fin coordinar, promover y apoyar el desarrollo y
aplicación de la gestión de riesgos en Europa, identificando y compartiendo las prácticas actuales.
Las encuestas se han realizado a empresas europeas dedicadas a múltiples sectores de la
industria, como por ejemplo, empresas de servicios financieros, del sector público, de productos
de consumo, automovilísticos, energéticos, de fabricación, de servicios, telecomunicaciones,
logística, entre otros, las cuales operan la mayoría a nivel internacional.
Estos estudios se basan en:
Analizar la evolución del entorno de la gestión de riesgos.
Determinar el nivel de madurez de las prácticas de gestión de riesgos en las
empresas europeas.
Ilustrar la relación entre la complejidad de las empresas y el nivel de madurez de la
gestión de riesgos.
Entender el futuro de la gestión de riesgos y el apetito por el mismo.
En general, las encuestas revelan un progreso continuo en los fundamentos de gestión de
riesgos. Sin embargo, un análisis más detallado revela diferencias importantes de una empresa,
país o un tema de gestión a otro.
En el período 2008-2010 han entrado en vigor nuevas normas relacionadas con la gestión
de riesgos, en particular, la octava directiva de la Unión Europea que se convirtió en ley en los
estados miembros y la nueva norma de gestión de riesgos, de la cual se espera conseguir el
reconocimiento social, la norma ISO 31000. Hasta el momento, una parte no tan significativa de
los encuestados (13%) refieren explícitamente a esta norma como referencia de su gestión de
riesgo, siendo los principales textos de referencia COSO II (30%) y las normas de gestión
nacionales o europeas (23%). Sin embargo, y tal vez lo más relevante, se encuentra en el hecho de
que el 47% de la las empresas no implementan explícitamente ninguna norma o estándar de
gestión de riesgos. Por lo que se puede decir que el entorno de gestión de riesgos, actualmente,
está evolucionando hacia un mayor número de reglamentos y normas, las cuales deberían
desempeñar un papel fundamental y tener un impacto significativo en las prácticas de gestión de
riesgos en los próximos años, sin embargo, los resultados muestran que los niveles de
sensibilización con respecto a estas nuevas normas siguen siendo muy escasos.
7. Benchmarking de ERM
94
Figura 7.6 Benchmarking FERMA – Normas y estándares de referencia para las organizaciones. [35]
Con respecto a los impulsores internos y externos del modelo de ERM se puede decir que
están convergiendo para promover el perfil de la gestión de riesgos. Por un lado, los impulsores
internos identificados como los más relevantes, siguen siendo los objetivos tradicionales, es decir,
reducir al mínimo sorpresas y pérdidas operativas (70%) e identificar y gestionar los riesgos inter-
empresariales (52%), pero objetivos como, alinear el apetito de riesgo y la estrategia (37%) y
vincular el crecimiento, el riesgo y el retorno (36%) están encaminados a ser los principales
objetivos que deberían alcanzarse en un futuro a través de la inversión en gestión de riesgos. En
la Figura 7.7 se muestran todos los objetivos identificados por los encuestados y en la Figura 7.8
se refleja la creciente tendencia, especialmente en los países del norte de Europa, a alinear el
apetito de riesgo y la gestión del mismo, con las decisiones estratégicas de la empresa.
Figura 7.7 Benchmarking FERMA - Objetivos de la Gestión de riesgos. [35]
7. Benchmarking de ERM
95
Figura 7.8 Benchmarking FERMA – Tendencia, en función del país, a alinear apetito por el riesgo y
estrategia. [35]
Por otro lado, con respecto a los impulsores externos, los requisitos legales, regulatorios y
de cumplimiento siguen siendo el principal factor externo desencadenante de las actividades de
gestión de riesgos (70%), seguido por el acontecimiento de eventos catastróficos y los requisitos
claros expresados por los accionistas que quieren garantizar y mejorar el rendimiento de sus
operaciones. En la siguiente figura se muestran los impulsores externos de la gestión de riesgos
más importantes identificados por los encuestados en 2010 y la variación de esta consideración
con respecto al año 2008.
Figura 7.9 Benchmarking FERMA - Impulsores de la Gestión del Riesgo. [34][35]
Otro punto importante a destacar es el aumento significativo de las actividades de gestión
de riesgos en los últimos años, aunque sólo el 43% de las empresas se encuentra en un nivel
avanzado o en desarrollo. Las siguientes actividades se consideran las más importantes del
programa de gestión de riesgos:
Coordinación de la gestión del riesgo empresarial.
Identificación de riesgos y controles y cuantificación.
7. Benchmarking de ERM
96
Impulsar la mejora continua de las prácticas de gestión de riesgo operacional.
Definición y aplicación de soluciones financieras de riesgos
Establecimiento de políticas de gestión de riesgos y estándares de auditoria.
Reportes de riesgo y funcionamiento de sistemas de información.
Figura 7.10 Benchmarking FERMA - Prácticas de la Gestión de Riesgos. Nivel de desarrollo. [35]
Por otro lado, se ha analizado el nivel de interacción que existe entre el gestor de riesgos y
la junta directiva, y como se puede observar en la siguiente figura, las empresas creen que las
actividades de gestión de riesgos están correctamente integradas en los informes de "la junta"
(78%) y que los temas más importantes son formalmente tratados, por lo menos anualmente. Los
países más avanzados con respecto a este tema, son los que han establecido normas sólidas de
gobierno y prácticas en los últimos 20 años: Reino Unido (Combined Code), Francia ("Rapport
Bouton” y el código de AFEP-MEDEF) y Alemania (KonTraG y BilMog).
Figura 7.11 Benchmarking FERMA - Niveles de interacción entre la gestión de riesgos y la junta directiva.
[35]
Con respecto a la coordinación con otras funciones de riesgo, el análisis muestra que existe
un nivel "mínimo" de coordinación entre las diversas funciones (en términos generales un 84%, y
específicamente entre la auditoría interna y el departamento de gestión de riesgos un 64%), pero
sólo el 23% de los encuestados indican que poseen un nivel completo de coordinación con todas
las funciones de riesgo (calidad, medio ambiente, legales, etc.). Por tanto, es evidente que esta
falta de coordinación puede conllevar efectos negativos incluyendo, carga económica extra,
solapamiento de controles, conflictos de informes de riesgos, etc.
Avanzado: La gestión de riesgos está completamente integrada en los informes de la junta.
Desarrollado: los temas típicos de gestión de riesgos son tratados por lo menos anualmente.
Moderado: Hay interacción con la junta o comité solo cuando surge la necesidad.
Básico: No hay mecanismos para
asegurar la interacción con la junta
directiva, comité de auditoría, etc.
7. Benchmarking de ERM
97
Otra cuestión relevante es el rol del auditor interno, el cual sigue estando en debate, ya que
la auditoria interna debería participar en el proceso proporcionando una garantía independiente
sobre la calidad y eficiencia de la gestión de riesgos, pero su papel con respecto a este tema sigue
sin estar claro. Se analizó la relación existente entre la gestión de riesgos y la auditoria interna, y
se observó que en el 64% de las empresas existe al menos una mínima coordinación entre ambos,
pero de todas formas, el hecho de que exista aun un 36% de empresas en las que no haya relación
alguna entre estas dos gestiones es bastante relevante ya que siguen considerando que los
auditores internos no forman parte de este proceso.
Figura 7.12 Benchmarking FERMA - Nivel de relación entre la Auditoría Interna y la Gestión de Riesgos.
[35]
Con respecto a la comunicación de los riesgos, se puede decir que hoy en día existe una
definición clara y comunicada de la gestión de riesgos gracias al desarrollo de políticas y normas.
Los flujos de información son tales que los datos están a disposición de la junta directiva y
completamente incorporados en las decisiones o por lo menos discuten sobre ello de manera
anual. Por lo que una comunicación interna más consolidada de la gestión del riesgo está
surgiendo a través de la definición de políticas dentro de la mayoría de las empresas europeas y
también una mayor participación de la junta en la toma de decisiones. Pero, por otro lado, la
divulgación de los informes externos de riesgos es desigual y dependen en gran medida del
tamaño de la empresa. El 50% de los encuestados dicen comunicar al menos los principales
riesgos específicos a los cuales se enfrenta, el otro 50% tiene un nivel muy limitado de
comunicación o incluso ni siquiera existe. La comunicación de riesgos puede ser un verdadero
impulsor de la ventaja competitiva ya que no todas las empresas realmente pueden convencer a
terceros de la calidad de su gestión de riesgos.
Por ultimo a los encuestados se les pidió que clasificaran la importancia del riesgo y
definieran el apetito ante 23 riesgos genéricos en cuatro áreas importantes de su organización:
riesgos estratégicos y de gobierno, riesgos externos, riesgos operativos, y riesgos de
cumplimiento y ética. Este análisis revela que las definiciones de apetito de riesgo de las
empresas (por ejemplo, postura de “tolerancia cero” frente a la posición de “propenso al riesgo”)
sólo en parte depende de la importancia de cada riesgo. De hecho, un análisis más detallado de
los resultados muestra que el apetito por el riesgo declarado se desencadenada principalmente
por la categoría del riesgo, en lugar del impacto del mismo. En consecuencia, parece que las
empresas prefieren adoptar estrategias de tomar riesgos cuando se trata de riesgos externos
(competencia, mercados financieros, fusiones y adquisiciones), o respecto a decisiones de
Avanzado: Relación estrecha entre las dos funciones.
Desarrollado: Coordinación y cooperación sobre plan de auditoria.
Moderado: Mutua coordinación y cooperación / Cooperación básica.
Básico: No hay relación entre la gestión de riesgos y la auditoría interna y/o tienen líneas de acción completamente separadas.
7. Benchmarking de ERM
98
planificación y ejecución, sobre todo en empresas complejas. Por el contrario, las empresas
parecen estar totalmente reticentes a los riesgos de regulación y seguridad (riesgos relacionados
con el cumplimiento, control interno, gobernanza corporativa, salud y seguridad, etc.).
Figura 7.13 Benchmarking FERMA - Importancia y apetito de distintos riesgos. [34][35]
Cumplimiento
Producción, calidad
Cadena de suministro, continuidad de actividades
RRHH y seguridad social
Control interno
Activo fijo TI/SI/Datos Seguridad, salud y protección
Gobernanza corporativa Diseño del producto Medioambiente Ética, fraude, RSE Crédito
Civil, profesional
Activos intangibles
Responsabilidades
Tesorería
Mercado financiero
Competencia y mercado
Planificación y ejecución Financiero
Política social y económica
10%
20%
30%
40%
50%
60%
Aversión al riesgo Propenso al riesgo
Tolerancia cero
Apetito por el riesgo
Categorías: Riesgos estratégicos y de gobierno Riesgos operacionales Riesgos de cumplimiento y ética Riesgos externos
0%
Fusiones y adquisiciones
8. Los riesgos en la industria de las Telecomunicaciones
99
Capítulo:
8. Los riesgos en la industria de las
Telecomunicaciones
8. Los riesgos en la industria de las Telecomunicaciones
100
8.1 Introducción
En este capítulo se analizará la situación actual de la industria de las telecomunicaciones y
los riesgos más comunes a los que hacen frente, para que a partir de un caso real se pueda
concluir el análisis de los riesgos operacionales.
La rápida evolución de los retos y oportunidades que enfrentan los operadores de
telecomunicaciones en todo el mundo están impulsando el cambio en el universo de riesgos de la
industria. A medida que la economía global emerge de la reciente recesión, encontramos grandes
oportunidades para desarrollar y aplicar estrategias para mantener y crear valor, por lo que la
capacidad de una compañía para aprovechar estas oportunidades depende fundamentalmente de
su capacidad para comprender y gestionar el riesgo. Si una empresa no sustenta la gestión de
riesgos, la estrategia de crecimiento no será verdaderamente sostenible. [36]
8.2 La industria de las Telecomunicaciones
Durante el estallido de la crisis económica mundial, la industria de las telecomunicaciones
se comportó bastante mejor que muchas otras industrias, sus ingresos y beneficios se
mantuvieron relativamente buenos. Los ingresos constantes y los estrictos controles fiscales
permitieron a los operadores no sólo sobrevivir, sino prosperar en dicha recesión económica.
A lo largo de la recesión, el flujo de caja se mantuvo sólido, y los precios de las acciones y
las líneas de crédito se mantuvieron, así como los inversores a su vez consideraron a las
telecomunicaciones como un sector seguro en tiempos de turbulencia económica. La figura que
se muestra a continuación se basa en los datos del índice STOXX Global 1800 del período
comprendido desde 2007 a 2010, comparándolo con el índice STOXX Global 1800 exclusivo del
sector de las telecomunicaciones. Como se puede observar, en el período de peor situación
económica, Septiembre de 2008 hasta junio 2009, el sector de las telecomunicaciones se mantuvo
a flote.
8. Los riesgos en la industria de las Telecomunicaciones
101
Figura 8.1 Evolución de la industria de las telecomunicaciones y de la industria global. Periodo 2007-2010 [37][39]
8. Los riesgos en la industria de las Telecomunicaciones
102
Haciendo un zoom al período 2008-2009 se puede apreciar mejor el comportamiento del
sector de las telecomunicaciones en relación con el resto de sectores:
Figura 8.2 Evolución de la industria de las telecomunicaciones y de la industria global. Periodo 2008-2009
[37][39]
Según los datos recopilados en un estudio realizado por la firma Ernst & Young, las
empresas de telecomunicaciones han sido las menos afectados por la recesión comparándola con
otros sectores de la economía mundial. Este estudio fue realizado en junio de 2009 entrevistando
a 569 ejecutivos de todos los sectores de la industria, para conocer cómo se están manejando las
empresas durante ese período duramente golpeado por la crisis.
Los empresarios de las telecomunicaciones han respondido de la siguiente forma cuando se
les pregunto sobre el impacto de la crisis económica:
8. Los riesgos en la industria de las Telecomunicaciones
103
Figura 8.3 Comparación de declaraciones del sector de las telecomunicaciones sobre el impacto de la
crisis económica respecto con las declaraciones del resto de sectores. [37]
Gran parte de esta resistencia se deriva de que los servicios de telecomunicaciones son
vistos cada vez más como compras “obligatorias”. La telefonía fija y los servicios de acceso de
banda ancha son percibidos en los hogares como esencial, y la demanda de los smartphones
aumenta como reemplazo de los teléfonos de nivel básico.
Pero aunque los números sean positivos, la crisis económica ha generado instabilidad en las
empresas y ha obstaculizado la capacidad de inversión en nuevos programas de innovación y
nuevas ofertas de servicios. Además ha fragmentado la industria en dos clases. Por un lado están
los grandes jugadores, los cuales han gestionado la crisis bastante bien ya que la economía de las
telecomunicaciones cada vez más les favorece al encontrarse la industria en la cúspide de una
nueva ola de inversión en infraestructura. Y luego están los más pequeños, los cuales han tenido
que luchar para sobrevivir.
Independientemente del tamaño, los operadores están utilizando las mismas tácticas para
tratar de mantener la cuota de mercado, como por ejemplo, mayores reducciones de costes
apoyadas por estrategias de precios basados en el valor, consolidar la posición en el mercado y
competir en un entorno rápidamente cambiante. Además, muchas iniciativas se centran en
aumentar las ventas con servicios complementarios destinados a reducir la rotación de clientes.
Algunos de los retos que el sector de las telecomunicaciones debe hacer frente, aparte de
lidiar con los desafíos de la crisis económica, pueden ser, la necesidad de rápidas respuestas ante
los avances tecnológicos y las crecientes necesidades de los clientes, además de la disminución de
los ingresos por telefonía fija y móvil, la aparición de poderos rivales, como las compañías de
cables, etc. También se encuentra el hecho de que internet móvil se ha convertido en un servicio
tangible y demandado, por lo que plantea un gran desafío en las empresas por la necesidad
invertir en infraestructura y al mismo tiempo reducir los costes, como así también mayores gastos
de marketing y mayores subsidios de terminales, pero los consumidores se muestran reacios a
pagar un extra por accesos más rápidos a la red, por lo que, en este caso, cualquier gasto en
servicios de valor añadido puede beneficiar a la tecnología y a los usuarios de Internet más que a
los propietarios de la red. [37][38]
8. Los riesgos en la industria de las Telecomunicaciones
104
8.3 Análisis de los riesgos más importantes
El análisis de los riesgos más importantes se ha realizado en base a otro estudio realizado
por Ernst & Young en 2010, el cual tiene como fin ayudar a los operadores de telecomunicaciones
a maximizar su valor, e identifica cuales son los 10 riesgos claves para el negocio. Este estudio ha
sido elaborado mediante la recopilación y síntesis de los conocimientos de profesionales del
sector, donde se les pidió que evaluaran los retos estratégicos más importantes para las
empresas de telecomunicaciones a nivel mundial. El mismo estudio se realizó en 2009, por lo que
se mencionará también la evolución y los cambios de dicho ranking. [36]
Los diez riesgos, en función de su importancia son los que a continuación se enumeran:
1. Perder la propiedad del cliente.
2. No maximizar el valor del cliente.
3. Aumento de las presiones regulatorias.
4. Inversión ineficaz en infraestructura.
5. Incapacidad para dominar y reducir los costes.
6. Falta de talento e innovación.
7. Incapacidad para manejar las expectativas de los inversores.
8. Procesos y sistemas inapropiados.
9. Gestión ineficaz de las fusiones, adquisiciones y alianzas.
10. Privacidad, seguridad y piratería.
Como se muestra en la siguiente figura, se pueden agrupar en 4 categorías distintas:
Riesgos estratégicos.
Riesgos de cumplimiento.
Riesgos financieros.
Riesgos operacionales.
8. Los riesgos en la industria de las Telecomunicaciones
105
Figura 8.4 Los 10 riesgos más importantes en el sector de las telecomunicaciones en 2010. [36]
8.3.1 Perder la propiedad del cliente
Perder la propiedad del cliente se consideró como el principal riesgo en 2009 y conserva el
primer puesto en 2010. Tanto en el mercado de consumidores como en el empresarial, ninguna
entidad tiene la propiedad del cliente, ni siquiera habiendo conseguido que las redes fijas y
móviles sean una plataforma de acceso a un amplio número de empresas y servicios.
Existen múltiples factores que producen esta pérdida, como por ejemplo, el hecho de que
al mismo tiempo que los servicios de acceso se están masificando, las compañías innovadoras
están ampliando sus propuestas de servicios, además, a muchos clientes ya no les importa
comprar sus servicios de telecomunicaciones a un operador tradicional o a cualquier otra entidad.
Otro factor importante es el hecho de que el valor de la marca de los líderes en tecnología por lo
general es superior al de las principales compañías de telecomunicaciones.
Figura 8.5 Opinión de los clientes a la hora de elegir su proveedor de servicios de telecomunicaciones.
[36]
Perder la propiedad del cliente
No maximizar el valor del cliente Aumento de las
presiones regulatorias
Inversión ineficaz en infraestructura
Procesos y sistemas inapropiados
Falta de talento e innovación
Incapacidad para manejar las expectativas de los inversores
Falta de talento e innovación
Gestión ineficaz de las fusiones, adquisiciones y alianzas.
Privacidad, seguridad y
piratería
Declaración: No hay ninguna
diferencia para mí, adquirir los
servicios de telecomunicaciones a
una empresa tradicional de
telecomunicaciones, o un
proveedor de software, o
cualquier otra entidad, siempre y
cuando los productos y servicios
sean buenos.
8. Los riesgos en la industria de las Telecomunicaciones
106
Al tratar de abordar el riesgo de perder la propiedad de los clientes, los operadores
necesitan un equilibrio entre dos fuerzas en conflicto. Por un lado, los costes, el tráfico creciente
de datos está aumentando los costes de gestión de red, pero no genera el efectivo suficiente para
compensar la disminución de los ingresos por voz, o para financiar el gasto necesario para
garantizar el ancho de banda.
Mientras tanto, una batalla sectorial está en marcha por la lealtad y el compromiso de los
clientes. Usuarios de Smartphones, por ejemplo, se identifican fuertemente con las marcas de
fabricantes de estos dispositivos, siendo una razón de peso para cambiar de operador. Por otra
parte, los operadores de cable están fuertemente posicionados para ganar en la batalla por la
triple-play (voz, banda ancha y televisión), mientras que una nueva ola de aplicaciones web sigue
minando el legado de voz y datos.
En España, según el informe emitido por la Comisión del Mercado de las
Telecomunicaciones (CMT), a lo largo de 2010 se realizaron un total de 4.827.719 portabilidades
de 51,6 millones de líneas móviles totales, lo que significó que aproximadamente el 9,4% de las
líneas móviles cambiaron de operador manteniendo su número de origen. Esta cifra supuso el
mayor número de portabilidades efectivas realizadas en un año desde la implantación del servicio
de portabilidad (en junio de 2000). Las altas cifras de portabilidad muestran que los usuarios han
presentado en los últimos años una creciente motivación por cambiar de proveedor de servicios
móviles. En la figura siguiente se observa como los dos principales operadores del mercado
(Telefónica y Vodafone) registraron una pérdida neta de 794.301 líneas a lo largo del año. Por el
contrario, Yoigo fue el operador con mejores resultados, con una ganancia neta de 472.583 líneas
a lo largo del ejercicio.
Figura 8.6 Saldo neto de portabilidad por operador en España. [40]
Las razones básicas que motivan a los consumidores a realizar una portabilidad pueden ser,
la búsqueda de una reducción del gasto del servicio consumido, es decir, abaratar la factura u
obtener tarifas más simples; y la búsqueda de un incremento de la calidad del servicio recibido
8. Los riesgos en la industria de las Telecomunicaciones
107
(obtener mejores terminales subvencionados, incrementar la calidad de la atención al cliente,
etc.).
Una forma de medir el grado de fidelidad de los clientes con su operador de telefonía móvil
puede ser a partir del índice de rotación, o churn, el cual relaciona el número de líneas dadas de
baja de un operador y el promedio de líneas totales que dicho operador ha tenido activas en el
mercado en los dos últimos años. Así, en el año 2010 el índice de rotación global del mercado
español registró un incremento del 5,3% respecto del año anterior, siendo el nivel más elevado de
toda la serie histórica con un 30,4%. Esta rotación implica que un cliente de telefonía móvil, de
promedio, cambia de proveedor cada 3,3 años. No obstante, los índices de rotación de los
operadores no mostraron una evolución homogénea, en la siguiente figura se muestra que
Movistar, Vodafone y el conjunto de los OMV (Operador Móvil Virtual) registraron leves
incrementos en el índice de rotación de sus clientes. Por el contrario, Orange y Yoigo
experimentaron descensos.
Figura 8.7 Índice de rotación de clientes (churn) en España. [40]
Se debe mencionar la relación existente entre la cuota de línea de cada operador y su
índice churn. Así, los tres operadores con mayor cuota tuvieron menores índices de rotación; éste
fenómeno puede deberse, en parte, a la estrategia llevada a cabo por estas compañías, basada en
subvencionar el terminal de sus clientes a cambio de mantener un compromiso de permanencia
de, como mínimo, 18 meses. El resto de operadores del mercado (Yoigo y los OMV) emplean otro
tipo de estrategias comerciales, como la oferta de tarifas comerciales con precios unitarios
ajustados. [40]
Por lo que estos desafíos están causando que los operadores busquen nuevos modelos,
herramientas y mensajes para retener a los clientes. Como se ha mencionado anteriormente, la
subvención de terminales es una de ellas, pero también existen estrategias de venta de
aplicaciones para smartphones a cambio de un porcentaje de los ingresos, la formación de
8. Los riesgos en la industria de las Telecomunicaciones
108
alianzas con proveedores de aplicaciones online, o la fuerte adopción de banda ancha móvil que
permite a los operadores subrayar sus credenciales en la cobertura 3G como diferenciador.
Para gestionar los riesgos relacionados con la propiedad de los clientes de manera efectiva
y sostenible, la clave será la de ingeniar un cambio en la mente de los clientes a fin de reflejar la
contribución real y sustancial que realizan las empresas de telecomunicaciones a la experiencia
global del servicio. Transmitir este mensaje requerirá una comunicación clara y consistente sobre
el valor de la red, y sobre los recursos que se necesitan para proporcionar servicios de alta
calidad. Si se tiene éxito, esta comunicación hará que los clientes se den cuenta que un servicio de
alta calidad no sólo está relacionado con el dispositivo o la aplicación, y que la red no es sólo un
servicio de consumo masivo dado con un valor económico limitado.
Estos mensajes deberían estar apoyados por claros indicadores que reflejen el verdadero
coste de servir y refuercen a su vez, el valor percibido del servicio de las comunicaciones. Además,
esto impulsa a los operadores a crear una mayor afinidad con la marca y reconstruir sus fuertes
relaciones con los consumidores y con los usuarios empresariales.
El proceso de cambiar la forma de pensar del cliente se puede llevar a cabo en dos etapas:
en primer lugar, la creación de conciencia y valor de la red, y en segundo lugar, la innovación para
capturar todavía un mayor valor de la red y asegurarse de que los clientes entiendan su
significado. Los operadores que tienen éxito en la recuperación de la propiedad de los clientes
serán aquellos que proporcionan la combinación correcta de experiencia y conocimientos, tanto
en diferenciación de clientes como en la creación de valor, para que puedan convencer a sus
clientes a seguir utilizándolo y, por lo tanto, que sigan pagando por el servicio de red.
8.3.2 No maximizar el valor del cliente
El estudio de 2010 indica que el riesgo de perder la propiedad de los clientes es seguido de
cerca por un riesgo adicional relacionado: no maximizar el valor potencial de cada cliente en la
red. Este riesgo ha sido detectado nuevo este año.
En los últimos años, las estrategias de retención de clientes han estado destruyendo el
valor del producto, por ejemplo, paquetes de ofertas de fijo y tarifa plana en el mercado de la
telefonía móvil ha producido que se amplíe el alcance del producto a expensas de la rentabilidad
de éste. Ahora los consumidores están haciendo un uso creciente de Internet móvil, lo que está
produciendo una reducción de los ingresos, como por ejemplo al sustituir el precio del servicio de
SMS por el precio de las tarifas de datos.
Por ejemplo, en España, según la CMT, las comunicaciones móviles basadas en mensajes
cortos (SMS y MMS) han presentado reducciones de tráfico en los últimos ejercicios. En concreto,
en 2010 el tráfico de mensajes SMS entre abonados disminuyó un 4,1% y fue el tercer año
consecutivo en el que se registra una caída del tráfico de este servicio. Por otro lado, el aumento
de abonados vinculados a los servicios de acceso a Internet móvil, se tradujo en un crecimiento
significativo del tráfico de datos registrados en las redes móviles. De este modo, se contabilizó un
tráfico total de 64,3 millares de Terabytes vinculados a este tipo de servicios, un 118% mayor que
el año anterior. Según el CMT una explicación para estas variaciones puede ser la proliferación en
los últimos años de aplicaciones de Internet basadas en el uso de mensajería instantánea creadas
principalmente para ser utilizadas a través de terminales móviles, las cuales podrían constituir un
servicio sustitutivo del servicio tradicional de mensajería SMS/MMS.
8. Los riesgos en la industria de las Telecomunicaciones
109
Si se analizan los ingresos correspondientes a dichos servicios finales del mercado de
telefonía móvil en España, los cuales de forma global alcanzaron los 13.855,5 millones de euros
(lo que implicó un descenso del 3,3% respecto del año anterior), en función de los distintos
servicios de telefonía móvil se observa una evolución desigual en los últimos años. El servicio de
mensajería registró una disminución interanual del 19,8%, (convirtiéndose así en el servicio que
registró el mayor descenso de ingresos). También se contabilizó un descenso del 5,5% de los
ingresos del servicio de voz (incluyendo tráfico de voz y cuotas de alta y abono), si bien este
servicio se mantuvo como la fuente que generó el mayor volumen de ingresos dentro del
mercado (10.635,6 millones de euros). Y con respecto al tráfico de datos, y en especial el servicio
de acceso a Internet móvil, se observó una tendencia opuesta, un incremento de sus ingresos del
31%. [40]
Este comportamiento desigual genera, como se muestra en la siguiente figura, que el
incremento de los ingresos por datos no sea suficiente para contrarrestar las pérdidas producidas
en los servicios de mensajería y de voz. Es necesario aclarar, que esta disminución no se debe
expresamente a que los consumidores están cambiando sus hábitos, sino que existen otros
múltiples factores, como por ejemplo, el negativo entorno económico que debilita la demanda de
los servicios móviles.
Figura 8.8 Evolución de los ingresos por servicios finales en telefonía móvil en España. [40]
Estas estrategias anti-churn han servido para convertir en productos básicos la percepción
de los minutos y el ancho de banda. Pero incluso con sus redes cada vez más saturadas por la
necesidad de banda ancha, los operadores han sido relativamente lentos al revisar los modelos de
negocio existentes. Como resultado, ahora tienen una necesidad urgente de ir más allá de
identificar nuevos modelos de negocio que capturen un valor adicional para el cliente.
Para hacer esta transición con éxito, los operadores necesitan reconocer y explotar su
poder de transformación. Las políticas de niveles de uso son cada vez más vitales, como por
8. Los riesgos en la industria de las Telecomunicaciones
110
ejemplo las políticas de equilibrio entre los servicios gratuitos y de pago. Algunos de los servicios,
Spotify y YouSendIt, por ejemplo, han agregado las versiones premium de las ofertas que
originalmente eran gratis. Basándose en esas experiencias, las empresas de telecomunicaciones
tienen la oportunidad de revitalización del modelo de negocio.
Varias empresas de telecomunicaciones ya han reforzado su enfoque en el valor del cliente
mediante la reorganización de sí mismos en función de las distintas líneas de clientes (como por
ejemplo, división de residenciales y de negocios) en lugar de las líneas de la tecnología (por
ejemplo, fija y móvil). También están identificando y probando nuevos modelos, como la venta de
aplicaciones para teléfonos inteligentes a cambio de un porcentaje de los ingresos, y la
colaboración en la innovación de dispositivos y de aplicaciones para crear experiencias
diferenciadoras. En el futuro, los operadores pueden ir más allá de simplemente satisfacer la
demanda de servicios, como por ejemplo, pueden buscar activamente o crear, incluso, nuevas
demandas.
8.3.3. Aumento de las presiones regulatorias
Los riesgos planteados por la regulación se han desplazado de la segunda posición del año
pasado al tercer puesto en 2010. Sin embargo, dado el continuo cambio global, sigue siendo
necesaria una gestión de regulación eficaz impulsada por los riesgos.
Existen muchos frentes abiertos en relación a los riesgos producidos por las presiones
regulatorias, entre ellos, un tema de regulación dominante a nivel mundial es el concepto de
“neutralidad de red", el cual es el principio por el que todos los paquetes IP de Internet se tratan
por igual, sin distinción de ningún tipo, independientemente de la cantidad de ancho de banda
que cada aplicación consuma. También los operadores móviles están viendo la reducción del
roaming y de las tasas de terminación.
Por otro lado, los operadores fijos se enfrentan a la regulación de la fibra óptica, tales como
la desagregación de redes y el cableado. Además los servicios de televisión se enfrentan a
desafíos en torno a la exclusividad de contenidos. Riesgos regulatorios también están
aumentando en los mercados emergentes, con cambios sustanciales en la estructura del
mercado.
Los operadores deben enfrentarse a dilemas sobre si se centran en reducir la brecha digital
o aumentar las velocidades en el mercado, además de comprometerse con todas las partes
interesadas para incentivar la inversión.
De cara al futuro, el riesgo regulatorio se mantendrá como riesgo de elevada importancia
dentro de los riesgos de la industria. Por lo que para gestionarlos de manera más efectiva, los
operadores probablemente necesiten desarrollar una comprensión más clara de la creciente
interrelación entre las políticas fijas y móviles, el panorama de la regulación en los mercados
adyacentes, y las consideraciones relativas a los "derechos digitales" de los clientes.
8.3.4 Inversión ineficaz en infraestructura
Los operadores de telecomunicaciones tienen la necesidad de invertir en una
infraestructura de mayor capacidad, por lo que el reto de hacerlo con eficacia sigue siendo
bastante importante, este riesgo ha caído desde la tercera a la cuarta posición este año.
8. Los riesgos en la industria de las Telecomunicaciones
111
Es de vital importancia contar con una infraestructura adecuada para conseguir retener a
los clientes y aumentar los ingresos y márgenes de beneficio, a medida que las nuevas tecnologías
se encuentran disponibles. Sin embargo, la reducción drástica del ciclo de vida de la tecnología
lleva a que cada vez sea más difícil identificar qué tecnología poner en práctica y en cuándo
hacerlo.
La consolidación de las tecnologías tradicionales ha contribuido a mejorar el grado de
seguridad en la toma de decisiones, pero el afianzamiento entre los proveedores puede aumentar
los riesgos. En este contexto incierto y cambiante, los operadores deben tomar las decisiones
empresariales apropiadas a largo plazo y el momento de hacerlo es también un reto, ya que un
"salto" a nuevas plataformas tecnológicas trae tanto riesgos como oportunidades.
En parte como resultado de estos problemas, las dudas persisten en cuanto al potencial de
regeneración de ingresos de los nuevos servicios producidos por las nuevas redes. Esta
incertidumbre aumenta por la compleja relación entre la demanda de los clientes, la competencia
y la política industrial.
Para mitigar los riesgos en torno a la inversión en infraestructura, los operadores deben
tener en cuenta la amplia gama de prestaciones que se están desarrollando y tomar las decisiones
tecnológicas necesarias para intentar no quedarse a la cola de los competidores, ya que éstos
ejercen una intensa presión para reducir al mínimo el tiempo de comercialización de los nuevos
servicios.
8.3.5 Incapacidad para dominar y reducir los costes
Los riesgos en torno a controlar y reducir los costes suben de la décima posición en 2009 a
la quinta en 2010. Esta evolución al alza refleja los desafíos crecientes en torno a los costes que
los operadores tienen que hacer frente dado el crecimiento exponencial del tráfico de datos y la
evolución continua de los riesgos en lo que respecta a los ingresos.
Como los ingresos de los servicios tradicionales se mantienen estáticos o descienden, y
como el potencial de generación de ingresos de nuevos servicios sigue siendo incierto, los
operadores no tienen otra alternativa para reducir costes si quieren conseguir la rentabilidad que
exigen los accionistas. En los últimos dos años, las estrategias para reducirlos se han centrado en
crear servicios compartidos, externalizar actividades no esenciales, exigir más a los proveedores,
recortar la plantilla, etc. Pero aunque estas tácticas estén bien establecidas, una nueva ola de
recortes será más difícil de lograr, ya que, por ejemplo, compartir las redes ha tenido su lado
positivo, pero aún quedan obstáculos normativos y tecnológicos por superar. O por ejemplo, en
muchos mercados, especialmente europeos, las políticas y regulaciones laborales han
obstaculizado los esfuerzos de las empresas para recortar empleos.
Con las posibilidades de reducir los costes prácticamente agotadas, las empresas de
telecomunicaciones deben identificar nuevas formas para operar el negocio con una base
estructural de costes más baja. Por ejemplo, en mercados emergentes, los desafíos de costes se
ven agravados porque los consumidores carecen de recursos necesarios para adquirir servicios de
mayor valor y, por lo tanto, de mayor precio. En respuesta a esto, algunos operadores a nivel
mundial han adoptado modelos masivos de bajo coste (similar a las aerolíneas de bajo coste), en
contraste con los países más ricos donde se explota el modelo de mayor valor y mayor coste.
8. Los riesgos en la industria de las Telecomunicaciones
112
Como puede apreciarse, el cambio fundamental es que los desafíos de costes ya no son
considerados como sólo una cuestión de reducción de gastos. Por lo que, una perspectiva global
que evalúe el control de costes en toda la empresa es vital. Para hacerse con ello de forma
robusta y sostenible, los operadores necesitan aumentar su eficiencia y flexibilidad mediante la
racionalización de las operaciones y la infraestructura. También se deberían simplificar los
procesos de creación de servicios para centrarse más en las necesidades del cliente y aprovechar
al máximo las nuevas arquitecturas de redes.
8.3.6 Falta de talento e innovación
Para aumentar los ingresos del tráfico de datos y recuperar la propiedad de los clientes, los
operadores tienen que asegurarse de que sus organizaciones pueden impulsar la innovación. Las
empresas de telecomunicaciones deben alcanzar una nueva ola de talentos para que puedan
satisfacer a una nueva generación de consumidores.
En los últimos años, otros participantes de la cadena de valor digital, sobre todo fabricantes
de dispositivos y creadores de aplicaciones online, están tomado la iniciativa en el ámbito de la
innovación, dejando a las empresas de telecomunicaciones como simples espectadores de las
nuevas tecnológicas que surgen.
Además, si ha habido innovación, ésta ha sido gradual, y muchos de los lanzamientos de
nuevos servicios han sido esencialmente defensivos, por ejemplo, televisión por IP (IPTV) y
tiendas de aplicaciones. Este enfoque de innovación relativamente pasivo refleja en parte la falta
de un liderazgo visionario, y también, en parte es debido al legado conservador después de la
experiencia de la burbuja de las punto.com.
Este enfoque ha posicionado a los operadores como socios de segundo nivel a la hora de
incorporar nuevos conceptos al mercado. Por ejemplo, cuando Apple lanzó el iPhone, fue capaz
de exigir una parte de los ingresos por los servicios. El menor ritmo de innovación de las
empresas de telecomunicaciones, comparándolo con la de los operadores tecnológicos hace que
sean más propensos a reaccionar a las tendencias en lugar de fijarlas, una posición que les
perjudica.
Para cerrar esta brecha de innovación, los operadores necesitan activar su fuerza de
trabajo. Esto incluye dar prioridad a I+D y reafirmar su capacidad de innovación ante los
consumidores. El tipo correcto de talento tiene un papel fundamental, es decir, contrataciones
estratégicas a partir de sectores tecnológicos y medios de comunicación son cada vez más
necesarios. Este enfoque reposicionara a los operadores para sacar el máximo partido de las
ventajas que tienen a su disposición, permitiéndoles construir la fuerza de la innovación, no sólo
basada en el precio y la confianza.
8.3.7 Incapacidad para manejar las expectativas de los inversores
Los operadores de telecomunicaciones se esfuerzan por conservar, en medio de los
constantes cambios, el valor de los accionistas. Durante la crisis, los importantes flujos de caja y
balances, llegaron a ser una especie de refugio para los inversores. Sin embargo, aunque las
empresas de telecomunicaciones siguen generando un flujo de caja libre atractivo, por varias
razones, la confianza de los inversores en la naturaleza defensiva del sector tiene una vida útil
cada vez más corta.
8. Los riesgos en la industria de las Telecomunicaciones
113
Por ejemplo, mientras que los flujos de caja libre de las empresas de telecomunicaciones
aún ofrecen un valor razonable, esto ya no es considerado por los inversores como algo
excepcional, ahora que las condiciones del mercado se están estabilizando y mejorando, por lo
que otras industrias se están volviendo más atractivas. Otro factor negativo es la necesidad de
invertir en proyectos de capital intensivos, tales como redes de próxima generación, adquisición
de espectro y las implementaciones de 3.5G.
Teniendo en cuenta estas consideraciones, los inversores están empezando a alejarse de las
inversiones de capital y control de costes de las empresas de telecomunicaciones y están
empezando a centrarse en la innovación. En este contexto, Google ha sido capaz de sacar el
máximo partido de su contacto con el cliente y de la reutilización de su plataforma para construir
valor para los accionistas. En su noveno año después de su lanzamiento, los ingresos de Google
llegaron a ser siete veces mayores que los de Vodafone, por ejemplo.
Para luchar y manejar de forma exitosa las expectativas de los inversores, las empresas de
telecomunicaciones necesitan identificar, capturar y comunicar la forma correcta de creación de
valor y posicionarse en una nueva cadena de valor. La declaración de misiones basadas en el
control de costes perjudica la credibilidad de una infraestructura renovada que pretende
denominarse como "transformadora".
Por lo que, las empresas de telecomunicaciones para ganarse a los inversionistas, requieren
una mejor y mayor transparencia en la articulación de los objetivos. Indicadores claves de
rendimiento externos también deben evolucionar en consecuencia, al igual que las relaciones de
los operadores con los gobiernos y proveedores.
8.3.8 Procesos y sistemas inapropiados
Esta categoría de riesgo viene tomando importancia desde el año pasado, debido a los
desafíos que se producen a la hora de definir nuevos procesos y sistemas que apoyan a las nuevas
estrategias de negocio. En 2010, se ha ampliado la definición de este riesgo para incluir junto con
los riesgos tradicionales, los riesgos de los nuevos modelos de negocio, lo que refleja una
necesidad mayor de los operadores de gestionar sus "negocios tradicionales" de forma más
eficaz, mientras que a su vez desarrolla nuevas áreas.
La evolución de este riesgo destaca el hecho de que las diferentes partes del negocio tienen
necesidades diferentes, y que la gestión eficiente de las áreas tradicionales de la empresa se ha
convertido aún más importante en el contexto de la crisis. Por ejemplo, el caso del servicio de
telefonía móvil, el cual es considera como un servicio tradicional, sigue representando una
proporción significativa de los ingresos, hasta un 40% en Europa.
Al mismo tiempo el bajo crecimiento de los mercados maduros está transformando a los
operadores a tener estrategias más atrevidas para buscar el beneficio. Esto significa que deben
combinar las nuevas ofertas con la habilidad de retener a sus grandes clientes por medio de los
servicios tradicionales, lo cual requiere un equilibrio entre la exigente excelencia operativa para
asegurar un servicio de alta calidad a bajo coste, y que a su vez se tienen que manejar volúmenes
de tráfico cada vez mayores con una plataforma que no lo sustenta.
Este imperativo ubica el centro de atención en los sistemas de soporte operacional de los
operadores (OSS), los cuales a menudo tienen fallos significativos. Nuevas plataformas y políticas
8. Los riesgos en la industria de las Telecomunicaciones
114
empresariales son la clave para hacer frente a estas cuestiones, y "esperar y ver" ha dejado de ser
una opción, por lo que los operadores no se pueden retrasar con la actualización.
Sin embargo, estos esfuerzos se enfrentan a importantes obstáculos. La rigurosa reducción
de costes de los últimos dos o tres años ha producido que algunos operadores de plataformas
lleguen a la obsolescencia en un momento en el que el tráfico de red es creciente. Muchos están
llegando al punto donde la única opción es la renovación completa de su plataforma. Si bien este
replanteamiento de nuevos procesos y sistemas no es probablemente el tema más apremiante en
la agenda del consejo de dirección, además está el hecho de que la migración a una nueva
plataforma puede llevar dieciocho meses o más. Pero hay riesgos importantes esperando a que
los sistemas actuales se terminen de agrietar, por lo ahora es el momento de tomar la iniciativa.
8.3.9 Gestión ineficaz de las fusiones, adquisiciones y alianzas.
Muchas de las características de la actual industria de las telecomunicaciones, como por
ejemplo, la intensificación de la competencia en el mercado, las presiones de costes, la necesidad
de grandes inversiones en nuevas infraestructuras, etc. son motores del crecimiento externo, ya
sea mediante la realización de fusiones y adquisiciones o mediante la formación de alianzas
estratégicas. Los riesgos involucrados en la gestión de estas actividades se encuentran en la
novena posición en 2010 (quinta en 2009). Para manejar estos riesgos de forma efectiva, una
visión integral de crecimiento es esencial.
Estas iniciativas de crecimiento reflejan el paso a estructuras de mercado más eficientes.
Asociaciones son necesarias para llegar a nuevos y difíciles segmentos de mercado, tales como los
servicios de TI, IPTV e Internet móvil. Sin embargo, se requiere precaución, ya que este
crecimiento puede aumentar los riesgos regulatorios y políticos.
Además, los riesgos se ven agravados por la ampliación de las estructuras y objetivos
involucrados, incluyendo acuerdos para compartir red con otros operadores, el reparto de
ingresos con los propietarios de aplicaciones, la internalización de las capacidades de la industria
y la subcontratación de partes de un tercer especialista. La asociación al principio puede parecer
de menor riesgo y menor costo que las fusiones o adquisiciones, pero en realidad crea una mayor
exposición a los riesgos debido a la necesidad de mantener la relación en curso entre las
organizaciones involucradas. La clave es contar con una gobernanza eficaz y transparente desde el
principio.
En términos de la verdadera estrategia de las fusiones y adquisiciones, el objetivo principal
hasta ahora ha sido el crecimiento en los mercados emergentes. Este razonamiento está siendo
sustituido por una tendencia hacia la consolidación en mercados maduros. En la actualidad, el
objetivo principal es el uso de esta estrategia de forma conservadora para ayudar a garantizar las
políticas de dividendos, pero dicho enfoque podría cambiar de nuevo.
En este entorno dinámico, los operadores necesitan discriminar entre la necesidad de
adquirir y la necesidad de asociarse, y debe desarrollar nuevas competencias para gestionar los
dos enfoques de forma más eficaz. En particular, deben hacer frente a "la coo-petencia",
estrategia empresarial basada en la cooperación y la competencia, y redefinir su relación con
socios fuera del sector, así como para afrontar los problemas persistentes en torno a los acuerdos
de reparto de ingresos.
8. Los riesgos en la industria de las Telecomunicaciones
115
Para ello, los requisitos para los operadores incluyen trabajar estrechamente entre ellos
para reducir el gasto de la red y ampliar los mercados potenciales, y mejorar su capacidad de
colaboración con los nuevos tipos de socios, como los desarrolladores de aplicaciones,
proveedores de energía y las empresas de tecnología.
8.3.10 Privacidad, seguridad y piratería
Riesgos de privacidad, seguridad y piratería han descendido desde el noveno lugar en 2009
al décimo en 2010, pero siguen siendo un problema a largo plazo que los operadores no deberían
ignorar. Estos riesgos varían en función del cliente y de las partes interesadas, ya sean
particulares, empresas o gobiernos que buscan proteger sus datos y redes. Las compañías de
telecomunicaciones tienen que hacer frente a importantes y mayores costes si quieren manejar
estos riesgos de forma efectiva. En pocas palabras, el desarrollo de la sociedad digital ha superado
la capacidad de ser supervisada.
Debido a la naturaleza de esta industria se consideran como endémicas las amenazas a la
privacidad y la seguridad, pero nuevos servicios y cambios en los modelos de negocio están
generando nuevos tipos de amenazas. Como por ejemplo, nuevas formas de ingresos generados
por modelos de anuncios basados en los datos sensibles del cliente, pero esto puede afectar a la
privacidad del mismo. En términos más generales, ya que los operadores invierten en la
construcción de una profunda relación bilateral con los clientes, su creciente dependencia de los
datos del mismo aumenta los riesgos a su alrededor, incluyendo el peligro de ataques cibernéticos
El impacto de una infracción puede ir mucho más allá de la pérdida inmediata de datos,
podría desencadenar un dramático declive en la confianza del cliente, dañando la reputación de la
empresa y de la marca, y la aplicación de las sanciones reglamentarias correspondientes. Los
operadores móviles en particular, tienen mucho que perder, ya que actualmente poseen una
confianza relativamente fuerte del consumidor en relación a la gestión de sus datos. En el frente
de la piratería, los derechos digitales son un tema importante debido a sus implicaciones socio-
económicas, y la gestión de riesgos en torno al contenido comercial se complica por la
participación de múltiples partes interesadas.
A pesar de las preocupaciones sobre la privacidad personal, los operadores se encuentran
presionados por los reguladores y los gobiernos para el seguimiento de datos cada vez más
detallados y por una regulación más estricta. Los resultados de esa presión son los códigos
voluntarios desarrollados en algunos países para ayudar a combatir el terrorismo o para evitar
que los niños puedan acceder a contenidos para adultos. Este crecimiento sostenido de
responsabilidades de los operadores refleja su posición única en el nexo del rápido cambio social,
político, tecnológico y de consumo.
Para gestionar los riesgos en torno a los datos de manera eficaz, los operadores deben
revisar la clasificación y la sensibilidad de la información del cliente, y asegurarse de que sus
sistemas y procesos son a prueba del futuro. También deben colaborar con los gobiernos sobre
una base continua para definir y clarificar sus responsabilidades en términos de contenido y
datos.
8. Los riesgos en la industria de las Telecomunicaciones
116
8.4 Respuestas de la industria de las telecomunicaciones
Según el estudio realizado por Ernst & Young, las empresas de telecomunicaciones han
aplicado ciertas respuestas e iniciativas de supervivencia para poder hacer frente a los riesgos
antes mencionados, como así también han definido cuáles son las estrategias futuras que tienen
intención de aplicar para salir antes de la crisis que sus competidores.
Con respecto a las respuestas de supervivencias, se ha analizado cuáles han sido las
principalmente adoptadas por el sector de las telecomunicaciones y si éstas han sido las mismas
que han aplicado el resto de industrias. Una de las respuestas mayoritariamente aplicada, nueve
de cada diez encuestados así lo expresaron, fue que en 2009 aceleraron la reducción de los
costes. Esta iniciativa fue aplicada tanto en el sector de las telecomunicaciones (89%), como en la
industria en general (86%), pero el dilema parece especialmente grave en el sector de las
telecomunicaciones porque la mayoría de estas empresas han estado reduciendo sus costes
desde el estallido de la burbuja de Internet en el período 2000-2001.
Por otra parte la reestructuración del negocio sí que ha sido bastante más recurrida en el
sector de las telecomunicaciones que en el resto de sectores, casi dos tercios de los encuestados
citó la reestructuración de la industria como una iniciativa que se aceleró en el último año, en
comparación con poco más de la mitad de los encuestados en general.
Con respecto a la revisión de los programas de inversión de capital y a la reducción del
número de empleados, el sector de las telecomunicaciones parece tener el mismo ritmo que el
resto de los encuestados. Pero, por otro lado, la industria de las telecomunicaciones se encuentra
más centrada en la reubicación de la producción y compartir centros de servicios, como en el
outsourcing de TI.
En relación a las estrategias futuras de competición, el sector de las telecomunicaciones,
comparándolo con todas las industrias, se han centrado en la diversificación empresarial y el
desarrollo de nuevos productos, como así también en acelerar el tiempo necesario para introducir
nuevos servicios en el mercado. En la Figura 8.10 se muestra las acciones que podrían ayudar a las
empresas para salir más rápido de la crisis que sus competidores. [37][38]
Figura 8.9 Diversas respuestas de supervivencia del sector de las telecomunicaciones ante la crisis
económica en comparación con el resto de sectores. [38]
8. Los riesgos en la industria de las Telecomunicaciones
117
Figura 8.10 Estrategias futuras de competición del sector de las telecomunicaciones comparándolas con
las estrategias de todas las industrias. [38]
Los ejecutivos de la industria de telecomunicaciones se están replanteando sus modelos
estratégicos, de planificación y de negocios. Para ello, algunas recomendaciones serían: [38]
Asegurar su presente. Incluso para las compañías de telecomunicaciones más
robustas, las medidas que deben tomarse deben estar enfocadas en la reducción de
costes, y al mismo tiempo invertir en oportunidades de crecimiento a largo plazo.
Mantener la salud financiera puede requerir un mayor enfoque en la gestión del
capital de trabajo y en la retención de dinero, por lo que los indicadores claves de
rendimiento deben ser controlados regularmente, y los planes de contingencia de
liquidez, tanto a nivel nacional como mundial, se deben implementar.
La protección de sus activos. Invertir en el futuro es crucial para las empresas de
telecomunicaciones, pero en una economía difícil, la administración debe imponer
controles estrictos para determinar si los gastos previstos de capital son necesarios
para el desempeño del negocio o si se puede posponer. Un área en la que las
compañías de telecomunicaciones deben seguir invirtiendo es la próxima
generación de redes, que son fundamentales para permitir el crecimiento de la
empresa y para gestionar el aumento de tráfico. Seguridad de la información es
otra área que no puede pasarse por alto en tiempos económicos difíciles, por lo
que las empresas deben asegurarse de que la seguridad está integrada en el
enfoque de gestión de riesgos.
8. Los riesgos en la industria de las Telecomunicaciones
118
Optimización del rendimiento. En tiempos económicos difíciles, se tiene que
establecer y comunicar una visión coherente de la gestión de costes, con puntos de
referencia claros, un gobierno claro y un alcance de las iniciativas claramente
establecido. Algunas áreas potenciales de ahorro de costes pueden ser a través del
outsourcing de redes, compartirlas o la venta de torres inalámbricas. Los esfuerzos
de reducción de costes, sin embargo, tienen que estar equilibrados con los niveles
adecuados de inversión para asegurar el crecimiento a largo plazo. Mientras que la
necesidad económica puede obligar a las empresas a recortar los programas, la
administración debe asegurarse de mantener los procesos y sistemas necesarios
para apoyar nuevas estrategias de negocio.
Remodelación de la empresa. Análisis de los datos del cliente son un aspecto cada
vez más importante dentro del negocio de telecomunicaciones, ya que permiten a
las empresas reunir nuevas fuentes de ingresos. Las empresas deben ser capaces de
aprovechar su acceso exclusivo a los datos del cliente para aprovechar las
oportunidades que ofrece Internet móvil, la banda ancha y su convergencia. En el
lado operativo, el ahorro de costes aumenta en importancia, algunas empresas
podrían considerar externalización de funciones que se realizan actualmente
dentro de la empresa, pudiendo centrarse en sus operaciones claves.
Mantener su futuro. Para sentar las bases para el futuro, las empresas deben
asegurarse de que sus modelos de negocio son lo suficientemente flexibles para
permitir una respuesta rápida a las vulnerabilidades de los competidores o cambios
en la industria. Algunas formas de lograr este tipo flexibilidad pueden ser a partir de
la simplificación de procesos funcionales, la mejora de la conectividad en toda la
empresa, y a partir de la formación de alianzas para el reparto de costes. Desde el
punto de vista de los ingresos, las empresas pueden explorar el desarrollo de
estrategias de abastecimiento y precios con sus mejores clientes. También es
necesario mejorar la segmentación de los consumidores, identificar nuevas
oportunidades de ingresos y nuevos nichos de mercado para sostener el
crecimiento futuro. Además, las empresas financieramente sanas necesitan
mantener o aumentar selectivamente los gastos de capital para sentar las bases
para el crecimiento futuro y liderazgo en el mercado.
8.5 Aplicación del modelo de ERM a los riesgos más importantes del sector de las
telecomunicaciones
Para cerrar el capítulo, a continuación se muestra la aplicación del modelo de ERM
desarrollado en la sección 5 a los distintos riesgos mencionados en este capítulo.
8.5.1 Premisas y puntos a destacar
Antes de mostrar la aplicación del modelo es necesario realizar algunas puntualizaciones
para su desarrollo:
Identificación:
El paso de identificación se ha llevado a cabo mediante el estudio de Ernst & Young,
a partir de la recopilación y síntesis de los conocimientos de profesionales del
8. Los riesgos en la industria de las Telecomunicaciones
119
sector y en base a la investigación y análisis realizado por expertos de Ernst &
Young, logrando así identificar cuáles son los diez riesgos más importantes de la
industria de las telecomunicaciones.
Descripción:
En este paso es necesario determinar la codificación de los riesgos, para ello se ha
seguido la siguiente denominación: XXYYY-ZZ.
Dónde:
XX: Denomina la codificación para riesgos empresariales. Se ha tomado: 10
YY: Denomina la codificación para cada uno de los riesgos empresariales:
- Riesgos económicos: 010
- Riesgos de mercado: 020
- Riesgos financieros: 030
- Riesgos legales: 040
- Riesgos tecnológicos:050
- Riesgos operacionales: 060
- Riesgos estratégicos: 070
- Riesgos de cumplimiento: 080
ZZ: Número de identificación en función de la aparición del riesgo (en este caso,
el número es prácticamente aleatorio, ya que no conocemos cuando
exactamente ha sido identificado, sólo conocemos el año.)
Además, como hemos mencionado antes, la fecha de detección del riesgo no la
conocemos, sólo sabemos en qué año ha sido posiblemente detectado, por lo que
pondremos para los riesgos detectados en 2009 y anteriores, la fecha genérica de
01/01/2009. Y para los riesgos nuevos, es decir detectados en 2010, la fecha
01/01/2010.
Análisis:
Con respecto al análisis, éste ha sido un análisis cualitativo y el valor de la
probabilidad y el impacto han sido estimados aproximadamente, en función de mi
juicio personal.
Tratamiento:
Tratamiento ha sido seleccionado siguiendo del diagrama de flujo de la Figura 5.7.
Para dejar claro cuál ha sido el camino seguido se ha enumerado la anterior figura
como a continuación se muestra en la Figura 8.11, y se ha reflejado la secuencia en
la tabla final del modelo de ERM.
Otro punto a mencionar es que la determinación de las acciones a tomar
propuestas también han sido obtenidas a partir del estudio realizado por Ernst &
Young.
8. Los riesgos en la industria de las Telecomunicaciones
120
Figura 8.11 Diagrama de flujo numerado - Respuestas a los riesgos negativos
Seguimiento y revisión:
Por último, este paso se ha realizado de manera aproximada, en base a mis
conocimientos y juicio personal.
8.5.2 Aplicación del modelo
En las siguientes tablas se muestra la aplicación del modelo de ERM, mostrando cada uno
de los pasos necesarios para realizar el análisis y tratamiento de cada riesgo.
Identificación
Perder la propiedad del cliente
No maximizar el valor del cliente
Aumento de presiones regulatorias
Inversión ineficaz en infraestructura
Incapacidad para dominar y reducir los costes
Falta de talento e innovación
Incapacidad para manejar las expectativas de los inversores
Procesos y sistemas inapropiados
Gestión ineficaz de las fusiones, adquisiciones y alianzas
Privacidad, seguridad y piratería
Tabla 8.1 Gestión del Riesgo: Identificación de los riesgos más importantes en las telecomunicaciones.
8. Los riesgos en la industria de las Telecomunicaciones
121
Descripción del Riesgo
Codificación 10070-12
Nombre Perder la propiedad del cliente
Fecha de detección 01/01/2009
Descripción cualitativa
Disminución de la cuota de mercado debido al incremento de portabilidades, aumento de los competidores, aumento de la fidelidad con la marca de dispositivos.
Naturaleza
Riesgo puro / especulativo
Riesgo puro
Riesgo inherente / incorporado
Riesgo inherente
Nivel de detalle
Nivel 0 Riesgo Empresarial
Nivel 1 Riesgo Estratégico
Nivel 2 Perder la propiedad del cliente
Interesados Altos mandos, gerentes, competidores
Antecedentes de pérdidas A determinar por el interesado
Tabla 8.2 Gestión del Riesgo: Descripción ‘Perder la propiedad del cliente’.
Descripción del Riesgo
Codificación 10070-20
Nombre No maximizar el valor del cliente
Fecha de detección 01/01/2010
Descripción cualitativa Necesidad de identificar nuevos modelos de negocio que capturen un valor adicional para el cliente.
Naturaleza
Riesgo puro / especulativo
Riesgo puro
Riesgo inherente / incorporado
Riesgo inherente
Nivel de detalle
Nivel 0 Riesgo Empresarial
Nivel 1 Riesgo Estratégico
Nivel 2 No maximizar el valor del cliente
Interesados Altos mandos, gerentes, cliente.
Antecedentes de pérdidas Riesgo nuevo - no hay antecedentes
Tabla 8.3 Gestión del Riesgo: Descripción ‘No maximizar el valor del cliente’.
8. Los riesgos en la industria de las Telecomunicaciones
122
Descripción del Riesgo
Codificación 10080-05
Nombre Aumento de presiones regulatorias
Fecha de detección 01/01/2009
Descripción cualitativa Necesidad de identificar nuevos modelos de negocio que capturen un valor adicional para el cliente.
Naturaleza
Riesgo puro / especulativo
Riesgo puro
Riesgo inherente / incorporado
Riesgo inherente
Nivel de detalle
Nivel 0 Riesgo Empresarial
Nivel 1 Riesgo de Cumplimiento
Nivel 2 Aumento de las presiones regulatorias
Interesados Altos mandos, gerentes, entes reguladores.
Antecedentes de pérdidas A determinar por el interesado
Tabla 8.4 Gestión del Riesgo – Descripción: Aumento de presiones regulatorias
Descripción del Riesgo
Codificación 10030-09
Nombre Inversión ineficaz en infraestructura
Fecha de detección 01/01/2009
Descripción cualitativa
Es de vital importancia contar con una infraestructura adecuada, sin embargo, la reducción drástica del ciclo de vida de la tecnología lleva a que cada vez sea más difícil identificar qué tecnología poner en práctica y cuándo hacerlo.
Naturaleza
Riesgo puro / especulativo
Riesgo puro
Riesgo inherente / incorporado
Riesgo inherente
Nivel de detalle
Nivel 0 Riesgo Empresarial
Nivel 1 Riesgo Financiero
Nivel 2 Inversión ineficaz en infraestructura
Interesados Altos mandos, gerentes, competencia
Antecedentes de pérdidas A determinar por el interesado
Tabla 8.5 Gestión del Riesgo: Descripción ‘Inversión ineficaz en infraestructura’.
8. Los riesgos en la industria de las Telecomunicaciones
123
Descripción del Riesgo
Codificación 10060-09
Nombre Incapacidad para dominar y reducir los costes
Fecha de detección 01/01/2009
Descripción cualitativa
Con las posibilidades de reducir los costes prácticamente agotadas, los operadores deben identificar nuevas formas para operar el negocio con una base estructural de costes más baja.
Naturaleza
Riesgo puro / especulativo
Riesgo puro
Riesgo inherente / incorporado
Riesgo inherente
Nivel de detalle
Nivel 0 Riesgo Empresarial
Nivel 1 Riesgo Operacional
Nivel 2 Riesgo Operacional - Control Económico
Nivel 3 Incapacidad para dominar y reducir los costes
Interesados Altos mandos, gerentes.
Antecedentes de pérdidas A determinar por el interesado
Tabla 8.6 Gestión del Riesgo: Descripción ‘Incapacidad para dominar y reducir los costes’.
Descripción del Riesgo
Codificación 10060-25
Nombre Falta de talento e innovación
Fecha de detección 01/01/2010
Descripción cualitativa
Otros participantes de la cadena de valor digital están tomado la iniciativa en el ámbito de la innovación, dejando a los operadores como simples espectadores de las nuevas tecnológicas que surgen.
Naturaleza
Riesgo puro / especulativo
Riesgo puro
Riesgo inherente / incorporado
Riesgo incorporado
Nivel de detalle
Nivel 0 Riesgo Empresarial
Nivel 1 Riesgo Operacional
Nivel 2 Riesgo Operacional - RRHH
Nivel 3 Falta de talento e innovación
Interesados Altos mandos, gerentes, empleados
Antecedentes de pérdidas Riesgo nuevo - no hay antecedentes
Tabla 8.7 Gestión del Riesgo: Descripción ‘Falta de talento e innovación’.
8. Los riesgos en la industria de las Telecomunicaciones
124
Descripción del Riesgo
Codificación 10030-21
Nombre Incapacidad para manejar las expectativas de los inversores
Fecha de detección 01/01/2010
Descripción cualitativa
Durante la crisis, los importantes flujos de caja y balances, fueron un refugio para los inversores, sin embargo, aunque sigan siendo atractivos, la confianza en el sector tiene una vida útil cada vez más corta.
Naturaleza
Riesgo puro / especulativo
Riesgo puro
Riesgo inherente / incorporado
Riesgo incorporado
Nivel de detalle
Nivel 0 Riesgo Empresarial
Nivel 1 Riesgo Financiero
Nivel 2 Incapacidad para manejar las expectativas de los inversores
Interesados Inversores, altos mandos, gerentes
Antecedentes de pérdidas Riesgo nuevo - no hay antecedentes
Tabla 8.8 Gestión del Riesgo - Descripción: ‘Incapacidad para manejar las expectativas de los inversores’.
Descripción del Riesgo
Codificación 10060-15
Nombre Procesos y sistemas inapropiados
Fecha de detección 01/01/2009
Descripción cualitativa
Mayores desafíos que se producen a la hora de definir nuevos procesos y sistemas que apoyen las nuevas estrategias de negocio.
Naturaleza
Riesgo puro / especulativo
Riesgo puro
Riesgo inherente / incorporado
Riesgo incorporado
Nivel de detalle
Nivel 0 Riesgo Empresarial
Nivel 1 Riesgo Operacional
Nivel 2 Riesgo Operacional - proceso productivo
Nivel 3 Procesos y sistemas inapropiados
Interesados Altos mandos, gerentes
Antecedentes de pérdidas A determinar por el interesado
Tabla 8.9 Gestión del Riesgo - Descripción: ‘Procesos y sistemas inapropiados’
8. Los riesgos en la industria de las Telecomunicaciones
125
Descripción del Riesgo
Codificación 10070-27
Nombre Gestión ineficaz de las fusiones, adquisiciones y alianzas
Fecha de detección 01/01/2009
Descripción cualitativa
Estas iniciativas de crecimiento reflejan el paso a estructuras de mercado más eficientes. Sin embargo, se requiere precaución, ya que este crecimiento puede aumentar los riesgos regulatorios y políticos.
Naturaleza
Riesgo puro / especulativo
Riesgo especulativo
Riesgo inherente / incorporado
Riesgo incorporado
Nivel de detalle
Nivel 0 Riesgo Empresarial
Nivel 1 Riesgo Estratégico
Nivel 2 Gestión ineficaz de las fusiones, adquisiciones y alianzas
Interesados Altos mandos, gerentes
Antecedentes de pérdidas A determinar por el interesado
Tabla 8.10 Gestión del Riesgo – Descripción: ‘Gestión ineficaz de fusiones, adquisiciones y alianzas’.
Descripción del Riesgo
Codificación 10080-14
Nombre Privacidad, seguridad y piratería
Fecha de detección 01/01/2009
Descripción cualitativa El desarrollo de la sociedad digital ha superado la capacidad de ser supervisada.
Naturaleza
Riesgo puro / especulativo
Riesgo puro
Riesgo inherente / incorporado
Riesgo inherente
Nivel de detalle
Nivel 0 Riesgo Empresarial
Nivel 1 Riesgo de cumplimiento
Nivel 2 Privacidad, seguridad y piratería
Interesados Altos mandos, gerentes, gobierno público, entes reguladores.
Antecedentes de pérdidas A determinar por el interesado
Tabla 8.11 Gestión del Riesgo - Descripción: ‘Privacidad, seguridad y piratería’.
8. Los riesgos en la industria de las Telecomunicaciones
126
Identificación Análisis del Riesgo Evaluación Tratamiento del riesgo Seguimiento y revisión
Código Nombre Prob.
(Esc.: 1 al 3) Imp.
(Esc.: 1 al 3) Nivel Categoría Calificación
Estrate-gia
Acción a tomar Propietario del riesgo
Fechas de revisión
Comentarios de las revisiones
10070-12 Perder la
propiedad del cliente
3 3
Rojo 9 Riesgo extremo: Requiere
acción inmediata.
Prioridad en el
tratamiento.
Mitigar: 1-3-5-6-
7
Comunicación clara y consistente a los
clientes sobre el valor de la red y sobre los
recursos que se necesitan para
proporcionar servicios de alta calidad.
Oficial de Riesgos
Estratégicos / Gerente de Marketing
Evaluaciones mensuales
Evaluación a través de indicadores de
rotación de clientes, número
de portabilidades, etc.
10070-20
No maximizar el valor del
cliente
2 3
Rojo 6 Riesgo importante:
requiere medidas de acción con
alta prioridad.
Mitigar 1-3-5-6-
7
Reorganización de la estructura orientada a las distintas líneas de clientes, en vez de a las líneas de servicio.
Oficial de Riesgos
Estratégicos / Gerente de
planificación estratégica
Una vez cada dos meses
Evaluación de las medidas de
satisfacción del cliente, a través de
encuestas, atención al cliente,
etc.
10080-05
Aumento de las
presiones regulatorias
2 2
Amarillo 3 Riesgo moderado: medidas de acción para reducir los
riesgos a un nivel
tolerable más bajo
Aceptar activa-mente: 1-3-5-9-10-11-
14
Desarrollar una comprensión clara de
la creciente interrelación entre las políticas, regulaciones y consideraciones de los derechos digitales
de los clientes.
Oficial de Riesgos
Regulatorios / Gerente de
políticas regulatorias
Una vez cada cuatro meses
Análisis de nuevas normas y políticas
regulatorias, contar con
asesoría legal.
8. Los riesgos en la industria de las Telecomunicaciones
127
Identificación Análisis del Riesgo Evaluación Tratamiento del riesgo Seguimiento y revisión
Código Nombre Prob.
(Esc.: 1 al 3) Imp.
(Esc.: 1 al 3) Nivel Categoría Calificación Estrategia Acción a tomar
Propietario del riesgo
Fechas de revisión
Comentarios de las revisiones
10030-09
Inversión ineficaz
en infraes-tructura
3 2
Rojo 6
Riesgo importante:
requiere medidas de acción con
alta prioridad.
Mitigar 1-3-5-6-7
Analizar la amplia gama de
prestaciones que se están desarrollando
y tomar las decisiones
tecnológicas necesarias para
reducir al mínimo el tiempo de
comercialización de los nuevos servicios.
Oficial de Riesgos
Financieros / Gerente
financiero
Una vez cada dos meses
Análisis de mercados, análisis de los servicios / productos de la
competencia
10060-09
Incapaci-dad para
dominar y reducir
los costes
2 2
Amarillo 3 Riesgo moderado: medidas de acción para reducir los
riesgos a un nivel
tolerable más bajo
Aceptar activamen
te: 1-3-5-9-10-11-14
Racionalizar las operaciones y la infraestructura. Centrarse en las necesidades del
cliente y aprovechar al máximo las
nuevas arquitecturas de
redes.
Oficial de Riesgo
Operacional / Gerente de operaciones
Una vez cada cuatro meses
Análisis de nuevas oportunidades de
optimización y reducción de
costes.
10060-25
Falta de talento e innova-
ción
1 3
Amarillo 3 Riesgo moderado: medidas de acción para reducir los
riesgos a un nivel
tolerable más bajo
Aceptar activamen
te: 1-3-5-9-10-11-14
Contrataciones estratégicas a partir
de sectores tecnológicos y
medios de comunicación.
Oficial de Riesgo
Operacional / Gerente de operaciones
Una vez cada cuatro meses
Evaluaciones de progreso del
personal nuevo contratado
8. Los riesgos en la industria de las Telecomunicaciones
128
Identificación Análisis del Riesgo Evaluación Tratamiento del riesgo Seguimiento y revisión
Código Nombre Prob.
(Esc.: 1 al 3) Imp.
(Esc.: 1 al 3) Nivel Categoría Calificación Estrategia Acción a tomar
Propietario del riesgo
Fechas de revisión
Comentarios de las revisiones
10030-21
Incapac-idad para manejar
las expectati-vas de los inversores
2 3
Rojo 6 Riesgo importante:
requiere medidas de acción con
alta prioridad.
Mitigar 1-3-5-6-7
Identificar, capturar y comunicar de forma clara y
correcta la creación de valor.
Oficial de Riesgos
Financieros / Gerente
financiero
Una vez cada dos meses
Evaluación de indicadores de
rendimiento, valor de las acciones,
etc.
10060-15
Procesos y sistemas inapropia-
dos
2 3
Rojo 6 Riesgo importante:
requiere medidas de acción con
alta prioridad.
Evitar 1-3-5-6-8
Desarrollar nuevas plataformas y
políticas empresariales para
actualizar la infraestructura a las
necesidades del entorno.
Oficial de Riesgo
Operacional / Gerente de operaciones
Una vez cada dos meses
Análisis y evaluación de la satisfacción de necesidades del
cliente.
10070-27
Gestión ineficaz de las
fusiones, adquisicio
nes y alianzas
2 2
Amarillo 3
Riesgo moderado: medidas de acción para reducir los
riesgos a un nivel
tolerable más bajo
Aceptar activamen
te: 1-3-5-9-10-11-14
Trabajar estrechamente con
el resto de operadores y
mejorar la capacidad de colaboración con
nuevos tipos de socios, como
desarrolladores de aplicaciones, proveedores, empresas de tecnología.
Oficial de Riesgo
Estratégico / Gerente de
planificación estratégica
Una vez cada cuatro meses
Análisis y evaluación de
posibles sinergias, análisis de
mercado, etc.
8. Los riesgos en la industria de las Telecomunicaciones
129
Identificación Análisis del Riesgo Evaluación Tratamiento del riesgo Seguimiento y revisión
Código Nombre Prob.
(Esc.: 1 al 3) Imp.
(Esc.: 1 al 3) Nivel Categoría Calificación Estrategia Acción a tomar
Propietario del riesgo
Fechas de revisión
Comentarios de las revisiones
10080-14 Privacidad, seguridad y piratería
3 2
Rojo 6
Riesgo importante:
requiere medidas de acción con
alta prioridad..
Mitigar 1-3-5-6-7
Revisar la clasificación y la sensibilidad de la información del
cliente, asegurarse de que los sistemas
y procesos son a prueba del futuro y colaborar con los gobiernos para
definir y clarificar las responsabilidades
en términos de contenido y datos.
Oficial de Riesgo
Regulatorio / Gerente de
políticas regulatorias
Una vez cada dos meses
Análisis de contenidos, tipo de información y
datos, números de ataques e
intrusiones, etc.
Tabla 8.12 Gestión del Riesgo: Análisis global de los riesgos en las telecomunicaciones.
9. Conclusiones y futuros desarrollos
130
Capítulo:
9. Conclusiones y futuros
desarrollos
9. Conclusiones y futuros desarrollos
131
9.1 Conclusiones
Este proyecto puede ser de gran utilidad para cualquier empresa que tenga como objetivo
establecer o mejorar su modelo de gestión de riesgos, ya que plasma de forma profunda el
estudio, análisis y descripción de la gestión del riesgo operacional, pudiéndose utilizar como base
de aplicación para poder detectar, analizar y gestionar los diversos riesgos operacionales.
Lo primero es mencionar que gracias a este análisis se ha podido indagar en la definición de
riesgo operacional y llegar a la conclusión de que, aunque exista un desarrollo profundo de la
misma por parte del sector bancario, es posible extrapolarla y adaptarla al resto de sectores,
pudiendo aplicarla en cualquier entidad ya que los riesgos operacionales afectan a todas las
organizaciones y están presentes en cada uno de sus procesos, independientemente de su
tamaño, actividad, objetivo o función social.
Lo siguiente a destacar como conclusión del proyecto es que si una empresa quiere
conseguir una eficacia operativa que le aporte un valor añadido, es necesario implantar en las
bases de la misma un sentimiento profundo de gestión de riesgos, y para ello se necesitan
sistemas efectivos, información precisa y oportuna, una sólida infraestructura, una clara política y
herramientas eficientes. Además, la estrategia de gestión de riesgos debería estar ligada a la
estrategia de negocio de la empresa, para ello no es necesario un cambio organizacional
profundo, sino un ajuste de la estructura del modelo de ERM a la estructura existente de la
entidad, siendo la gestión del riesgo empresarial construida en lugar de atornillada a la gestión
empresarial.
Un eslabón fundamental de este modelo son las personas, ya que todos los integrantes
desempeñan un papel importante en el funcionamiento de este modelo. La junta directiva debe
crear una estrategia de riesgo definiendo el apetito por el mismo, la comisión de riesgos debe
proporcionar liderazgo y dirección alineando las actividades al apetito de riesgo definido, el
gerente de ERM es el primer defensor de la gestión de riesgos empresariales, los diversos oficiales
de riesgos deben apoyar a la unidad de ERM conduciendo la identificación, análisis, mitigación y
monitorización de los riesgos, los empleados tienen la responsabilidad primaria de identificarlos
en el día a día y el auditor interno es quien debe brindar aseguramiento y supervisión de la
gestión del riesgo. Por lo que es primordial que todos conozcan cuáles son sus funciones y
responsabilidades para asegurar así la valoración y continuación del programa de ERM.
Además, un riesgo no solo es sinónimo de amenaza, sino que también puede ser una
oportunidad que es necesario saber aprovechar, por lo que contar con un sistema de gestión de
riesgos que sea capaz de identificarlo, describirlo, analizarlo, evaluarlo y tratarlo es fundamental
para generar ese valor añadido que la empresa necesita para su crecimiento. Además, es
importante un seguimiento y una revisión continua de dichos riesgos, ya que éstos evolucionan
con el tiempo, incluso, los objetivos de la entidad pueden cambiar, la probabilidad y el impacto de
los riesgos pueden empeorar, y la eficacia de los controles puede reducirse. Como así también, se
debe contar con un sistema de información y comunicación completo, ya que es necesario en
todos los niveles de la organización y es la base para la toma de decisiones.
Por otro lado, determinar una herramienta informática a utilizar que proporcione el
soporte necesario a la gestión de riesgos de la empresa es otro punto importante, ya que en parte
9. Conclusiones y futuros desarrollos
132
la efectividad de este modelo depende de la correcta elección de la herramienta que mejor
satisfaga sus necesidades de gestión de riesgos.
En relación a la situación actual de las empresas y su gestión de riesgos, se puede decir que
está creciendo el interés por esta actividad, la cual se está convirtiendo como habitual y está
dejando de apreciarse simplemente como un esfuerzo a cumplir, pero aun así existen obstáculos
que saltar, y el principal se puede decir que es la falta de apoyo por parte de la alta gerencia, de la
junta directiva y del personal, a la hora de establecer un programa eficaz de gestión de riesgos.
En lo que respecta a los riesgos en la industria de las telecomunicaciones, aunque la crisis
económica no haya golpeado tan duramente a este sector, esto no indica que no se vean
obligados a aplicar medidas extraordinarias para hacer frente a nuevos retos. Como por ejemplo,
los operadores se ven en la necesidad de invertir de una forma inteligente en nuevas tecnologías
y plataformas o desarrollar nuevos productos y servicios, como resultado de aplicar medidas de
mitigación y reducción a ciertos riesgos, como es el caso de los riesgos operacionales de
incapacidad de reducir coste o disposición de sistemas y procesos ineficientes. Por lo que es
sumamente necesario, tanto para el sector de las telecomunicaciones como para el resto de
sectores, disponer de un modelo de gestión de riesgos eficiente si desean sobrevivir en este
entorno cambiante y altamente competitivo.
9.2 Futuros desarrollos
Como futuros desarrollos se propone consolidar la definición de riesgos operacionales, de
forma que sea útil para todos los sectores del mercado y no sólo al sector bancario. Además, se
propone ampliar dicha información y análisis debido a su importancia y peso en las
organizaciones de hoy en día.
Otro punto importante, es que si las empresas quieren contar con un modelo de ERM
efectivo deberían establecer una clara política de gestión de riesgos, además este modelo debería
estar basado y sustentado por procedimientos y estándares, utilizando como punto de partida,
por ejemplo, la norma ISO 31000. También sería importante establecer una organización
consolidada para la gestión de riesgos, asignando roles y responsabilidades concretas, y aunque el
propietario último es el responsable definitivo, todas las personas que integran la organización
deberían participar activamente en la gestión de riesgos. Además, sería útil disponer de
herramientas informáticas que permita a las empresas trabajar de forma segura.
10. Presupuesto
133
Capítulo:
10. Presupuesto
10. Presupuesto
134
10.1 Desarrollo del proyecto
La realización de este proyecto se ha realizado en tres fases, las cuales se pueden resumir
en investigación y búsqueda de información, análisis de la misma y redacción.
La primera fase ha consistido en buscar información sobre los tres temas importantes: la
Gestión del Riesgo Empresarial, la Gestión del Riesgo Operacional y los riesgos en el sector de las
telecomunicaciones. Esta fase se ha realizado en dos sub-fases, donde la terminación de cada una
de ellas ha estado marcada por la presentación de resúmenes de la información encontrada al
tutor del proyecto.
La segunda fase ha consistido en analizar la información obtenida en la fase anterior y
estructurarla y organizarla para determinar el lineamiento general del proyecto.
La tercera fase ha consistido en la redacción del proyecto. En esta fase se pueden
identificar cuatro sub-fases. La primera de ellas ha estado focalizada en el entendimiento y
redacción de los temas que conciernen a la gestión de riesgos empresariales, la segunda en la
redacción de los temas de la gestión de riesgos operacionales, la tercera en la redacción del
análisis de los riesgos más importantes del sector de las telecomunicaciones y finalmente, la
última sub-fase ha estado marcada por la revisión global y unificación de las tres sub-fases
anteriores. Esta fase y la elaboración del proyecto en general, se ha visto concluida con la revisión
final por parte del tutor del proyecto.
A continuación se muestra el diagrama de Gantt correspondiente:
Figura 10.1 Programa del desarrollo del proyecto utilizando el diagrama de Gantt
10.2 Costes del proyecto
10.2.1 Coste de personal
Para determinar el coste de personal es necesario realizar un matiz. El nivel de dedicación
del proyecto no ha sido uniforme a lo largo del período determinado anteriormente por el
diagrama de Gantt, por lo que a la dedicación (hombres mes) se le ha aplicado un factor de
corrección en función al tiempo real que se ha dedicado para realizar este proyecto.
10. Presupuesto
135
Inicio Fin
Dedicación (horas)
Factor de corrección
Dedicación real (horas)
Búsqueda de información 1ra fase 01-sep 29-sep 160 0,6 96
Entrega resumen 30-sep
Búsqueda de información 2da fase 01-oct 04-nov 160 0,6 96
Entrega resumen 05-nov
Búsqueda de información total 01-sep 05-nov 192
Análisis y estructuración del proyecto 06-nov 24-dic 320 0,6 192
Redacción de la Gestión de Riesgos Empresariales 10-ene 01-jun 800 0,2 160
Redacción de la Gestión de Riesgos Operacionales 01-jun 01-sep 480 0,4 192
Redacción de los riesgos en las telecomunicaciones 01-sep 30-sep 160 0,5 80
Revisión global 01-oct 18-oct 96 0,7 67,2 Revisión final tras comentarios del tutor 11-nov 11-nov 8 1 8
Redacción total 10-ene 11-nov 507,2
Total (horas) 891,2
Total (mes) 5,57
Tabla 10.1 Estimación del tiempo de dedicación real para la realización del proyecto.
10.2.2 Coste de equipos
Los recursos utilizados para realizar este proyecto han sido:
Ordenador portátil Dell Inspiron 1564
Impresora Epson Stylus SX 125
MS Windows 7
MS Office 2010
Antivirus McAfee Total Protection
10. Presupuesto
136
10. Presupuesto
137
“El presupuesto total de este proyecto asciende a la cantidad de 18100 EUROS”.
Leganés a de 11 Noviembre de 2010
Fdo. Eliana Soledad Peralta
11. Glosario
138
Capítulo:
11. Glosario
11. Glosario
139
AFEP-MEDEF Association Française des Entreprises Privées-Mouvement des Entreprises de France
AIRMIC Association of Insurance and Risk Managers in Industry and Commerce
ARM Active Risk Manager
AS/NZS Standards Australia / Standards New Zealand
BPEST Business, Political, Economic, Social, Technological
CMT Comisión del Mercado de las Telecomunicaciones
COSO Committee of Sponsoring Organizations of the Treadway Commission
CRO Chief Risk Officer
DAFO Debilidades, Amenazas, Fortalezas y Oportunidades
EFQM European Foundation for Quality Management
ERM Enterprise Risk Management
FDA Food and Drug Administration
FERMA Federation of European Risk Management
FMEA Failure Mode & Effects Analysis
GRC Governance, Risk, and Compliance
HAZOP Hazard and Operability
HIPAA Health Insurance Portability and Accountability Act
HSE Health, Safety, and the Environment
IIA Institute of Internal Auditors
IPTV Internet Protocol Television
ISO International Organization for Standardization
MMS Multimedia Messaging Service
NIST National Institute of Standards and Technology
OMV Operador Móvil Virtual
ORM Operational Risk Management
PCAOB Public Company Accounting Oversight Board
PESTLE Political, Economic, Social, Technical, Legal, Environmental
PMBOK Project Management Body of Knowledge
RBS Risk Breakdown Structure
SCI Science Citation Index
11. Glosario
140
SEC Securities and Exchange Commission
SJR SCImago Journal Rank
SMS Short Message Service
SOX Sarbanes-Oxley Act
TI Tecnologías de Información
TQM Total Quality Management
WBS Work Breakdown Structure
12. Bibliografía
141
Capítulo:
12. Bibliografía
12. Bibliografía
142
Por orden de aparición en el texto:
1. KPMG Auditores Consultores Ltda, ‘Entendiendo la administración del riesgo
empresarial’. http://www.kpmg.cl/aci/pdf/ERM.pdf. Último acceso: Enero de 2011.
2. QSL División Aviación y Proyectos Internacionales, Gestión del riesgo operacional.
http://www.riesgooperacional.com/docs/31%20Riesgo%20oper%20paper.pdf . Último
acceso: Octubre de 2011.
3. Bratoy Koprinarov, Riesgo empresarial y su gestión.
http://www.analitica.com/va/economia/opinion/5753437.asp. Último acceso: Octubre de
2011.
4. Bernardo Prida Romero, Sistemas productivos y gestión de operaciones en la empresa
(Apuntes de Diseño de sistemas productivos y logísticos).
5. José Ruíz Canela, apuntes de Técnicas de Calidad Total.
6. Ross A. Ritchie, Dr Jannis Angelis, ‘Operational Risk: From Finance to Operations
Management’. http://www.pomsmeetings.org/ConfProceedings/015/FullPapers/015-
0331.pdf Último acceso: Octubre de 2011.
7. Rick Funston, ‘Creating a risk’. http://www.accountancy.com.pk/articles.asp?id=73 .
Último acceso: Octubre de 2011.
8. Committee of Sponsoring Organizations of the Treadway Commission (COSO),
‘Enterprise Risk Management – Integrated Framework’.
http://www.coso.org/documents/COSO_ERM_ExecutiveSummary.pdf. Último acceso:
Octubre de 2011.
9. Depósito Central de Valores (DCV), ‘Lineamientos Generales de la Gestión de Riesgo
Operacionales en DVC’.
http://www.dcv.cl/images/stories/DOC/empresa/lineamientos_generales_gestion_de_ries
go_operacional.pdf. Último acceso: Octubre de 2011.
10. Committee of Sponsoring Organizations of the Treadway Commission (COSO),
‘Strengthening Enterprise Risk Management for Strategic Advantage’.
http://www.coso.org/documents/COSO_09_board_position_final102309PRINTandWEBFIN
AL_000.pdf . Último acceso: Enero/2011.
11. Asociación Española de Normalización y Certificación (AENOR), UNE-ISO 31000:2010
Gestión del riesgo. Principios y directrices, 2009.
12. Federal Aviation Administration (FAA) System Handbook, ‘System Safety Handbook:
Chapter 15: Operational Risk Management’.
http://www.faa.gov/library/manuals/aviation/risk_management/ss_handbook/media/chap
15_1200.pdf. Último acceso: Octubre de 2011.
13. DP&A S.A., ‘Riesgo Operacional’. http://www.dpya-
sa.com.ar/articulos/riesgo_operacional_Carlos_Danze.pdf . Último acceso: Octubre de
2011.
12. Bibliografía
143
14. 13’http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber
=44651 Último acceso: Octubre de 2011
15. Federation of European Risk Management (FERMA), ‘Estándares de Gerencia de
Riesgos’.
http://www.theirm.org/publications/documents/rm_standard_spanish_15_11_04.pdf.
Último acceso: Octubre de 2011.
16. Price Waterhouse Coopers, ‘Boletín asesoría gerencial: Gestión Integral de Riesgos
(GIR): Alternativas de organización’. http://www.pwc.com/ve/es/asesoria-
gerencial/boletin/assets/boletin-advisory-edicion-05-2008.pdf. Último acceso: Octubre de
2011.
17. European Confederation of Institutes of Internal Auditing (ECIIA) & Federation of
European Risk Management (FERMA), ‘Guidance on the 8th EU Company Law Directive’.
http://www.qualified-audit-
partners.be/user_files/ControlPublications/_CGAC_ECIIA_FERMA_Guidance_on_the_8th_E
U_Company_Law_Directive___article_41_2010_.pdf . Último acceso: Octubre de 2011.
18. The Institute of Internal Auditors (IIA), ‘Managing Risk from the MailRoom to the
Boardroom’. http://usfweb2.usf.edu/uac/documents/managingrisk.pdf. Último acceso:
Octubre de 2011.
19. The Institute of Internal Auditors (IIA), ‘El Rol de Auditoria Interna en la Gestión del
Riesgo Empresarial’.
http://www.theiia.org/chapters/pubdocs/264/Rol_del_Auditor_Interno_en_el_ERM[1].pdf.
Último acceso: Octubre de 2011.
20. Lic. Yadira Rodriguez Carranza, MSc. Manuel Guerra Garcés, Ing. Francisco E. Reyes
Santos, ‘Modelo de identificación de los riesgos de control interno para la actividad
empresarial’. http://www.eumed.net/ce/2009a/cgs.htm. Último acceso: Octubre de 2011.
21. Dr. David Hillson, ‘Describiendo el Riesgo: ¿Cuántos Detalles? http://www.risk-
doctor.com/pdf-briefings/risk-doctor09s.pdf . Último acceso: Octubre de 2011.
22. Dr. David Hillson, ‘Use a Risk Breakdown Structure (RBS) to Understand your Risk’.
http://www.risk-doctor.com/pdf-files/rbs1002.pdf. Último acceso: Octubre de 2011.
23. Risk Management Society (Nanyang Technological University), ‘Enterprise Risk
Management (ERM)’.
http://clubs.ntu.edu.sg/rms/micro/ram11/articles/Enterprise%20Risk%20Management%20
(Complete).pdf . Último acceso: Octubre de 2011.
24. http://www.palisade-lta.com/risk/analisis_de_riesgo.asp. Último acceso: Octubre de
2011.
25. Crispin Piney, ‘Risk Response Planning: Selecting the Right Strategy’.
http://www.petronet.ir/index.php?module=sisRapid&func=loadlibmodule&system=docum
ent&sismodule=/portlets/sisRapid/dream/libs/V2.56/core/sisFile.php&exeapp=document&
ownapp=document&relativePath=documents/3875/&index=&isImage=false&fileName=att
achment_1001.pdf. Último acceso: Octubre de 2011.
12. Bibliografía
144
26. Dr. David Hillson, ‘Respuestas al Riesgo de Primera Clase’. http://www.risk-
doctor.com/pdf-briefings/risk-doctor03s.pdf . Último acceso: Octubre de 2011.
27. http://www.sap.com/solutions/sapbusinessobjects/large/governance-risk-
compliance/index.epx. Último acceso: Octubre de 2011.
28. http://www.activerisk.com/ . Último acceso: Octubre de 2011.
29. http://www.softexpert.com/enterprise-risk-management.php . Último acceso: Octubre
de 2011.
30. http://www.erp-spain.com/articulo/69364/erp/otros/cuatro-demos-de-las-soluciones-
softexpert-cpm-ecm-erm-y-grc-. Último acceso: Octubre de 2011.
31. The Institute of Internal Auditors (IIA), ‘2008 ERM Benchmarking Survey’.
http://www.iia.nl/SiteFiles/Downloads/2008_ERM_Benchmarking_Survey_Executive_Sum
mary.pdf . Último acceso: Octubre de 2011.
32. Federation of European Risk Management (FERMA), ‘Risk Management Practices in
2006: Are you ready for change?’
http://www.ferma.eu/Portals/2/documents/FERMA%20AXA%20EY%20Survey%202006.pdf
Último acceso: Enero de 2011.
33. Federation of European Risk Management (FERMA), ‘FERMA Risk Management
Practices Survey 2008, Keys to understanding the diversity of risk management practices in
Europe’. http://www.risk-management.cz/clanky/FERMA-AXA-EY-Survey_final.pdf. Último
acceso: Octubre de 2011.
34. Federation of European Risk Management (FERMA), ‘FERMA Risk Management
Benchmarking Survey 2010, Keys to understanding the diversity of risk management
practices in Europe’. http://www.ferma.eu/wp-content/uploads/2011/10/ferma-risk-
management-benchmarking-survey-2010.pdf . Último acceso: Octubre de 2011.
35. Federation of European Risk Management (FERMA), ‘FERMA European Risk
Management Benchmarking Survey 2010, Keys to understand the diversity of risk
management practices in Europe’
http://www.google.es/url?sa=t&source=web&cd=5&ved=0CDgQFjAE&url=http%3A%2F%2F
www.anra.it%2Ffunzioni%2Fblob_out.php%3Fid_blob%3D254%26download&rct=j&q=ferm
a-european-risk-management-benchmarking-survey-
2010&ei=JlaVTqHjKYTDhAfF1I2rBg&usg=AFQjCNGEZXXIxCg7gZDgiZe20ibR3znpBQ . Último
acceso: Octubre de 2011.
36. Ernst & Young, ‘Top 10 risk in telecommunications’.
http://www.ey.com/GL/en/Industries/Telecommunications/Top-10-risks-in-
telecommunications--2010. Último acceso: Octubre de 2011.
37. Ernst & Young, ‘Lessons from change. Performance and expansion in the
telecommunications industry’
http://www.ey.com/GL/en/Industries/Telecommunications/Top-10-risks-in-
telecommunications--2010 . Último acceso: Octubre de 2011.
12. Bibliografía
145
38. Ernst & Young, ‘Opportunities in adversity. Telecommunications survey snapshot’
http://www.ey.com/GL/en/Issues/Business-environment/Opportunities-in-adversity
Último acceso: Enero de 2011.
39. http://www.stoxx.com/index.html. Último acceso: Octubre de 2011.
40. Comisión del Mercado de las Telecomunicaciones (CMT), ‘Informe anual 2010,
Comunicaciones móviles’.
http://informeanual.cmt.es/docs/1.4%20INFORME%20SECTOR%20-
%20COMUNICACIONES%20MOVILES.pdf. Último acceso: Octubre de 2011.